Як працює викупкове програмне забезпечення wanacrypt?

Wanacrypt має черв'якоподібні можливості, а це означає, що він намагається поширитися по мережі. Для цього він використовує експлуатацію Eternalblue (MS17-010) з наміром поширитись на всі машини, у яких ця вразливість не зафіксована.

Зміст індексу

Як працює викупна програма Wanacrypt?

Що-небудь, що привертає увагу цього викупного програмного забезпечення, - це те, що він не тільки здійснює пошук у локальній мережі постраждалої машини, але й продовжує сканувати загальнодоступні IP-адреси в Інтернеті.

Всі ці дії виконуються службою, яка встановлює програмне забезпечення після його виконання. Після встановлення та виконання служби створюються 2 потоки, які відповідають за процес реплікації в інші системи.

В ході аналізу експерти в цій галузі спостерігали, як він використовує абсолютно той самий код, який використовує АНБ. Єдина відмінність полягає в тому, що їм не потрібно використовувати подвиг DoublePulsar, оскільки їхній намір полягає в тому, щоб просто ввести себе в процес LSASS (Локальна служба підсистеми служби безпеки).

Для тих, хто не знає, що таке LSASS, саме цей процес змушує протоколи безпеки Windows працювати коректно, тому цей процес слід завжди виконувати. Як ми знаємо, код корисного навантаження EternalBlue не був змінений.

Якщо порівнювати з існуючими аналізами, то можна побачити, як опкод ідентичний опкоду…

Що таке опкод?

Опкод, або опкод, - це фрагмент машинної мови, яка визначає операцію, яку слід виконати.

Ми продовжуємо…

І ця вимога програмного забезпечення виконує ті ж самі функції, щоб нарешті ввести бібліотеки.dll, надіслані в процесі LSASS, та виконати його функцію "PlayGame", за допомогою якої вони знову запускають процес зараження на атакованій машині.

За допомогою експлуатації коду ядра всі операції, які виконуються зловмисними програмами, мають SYSTEM або системні привілеї.

Перш ніж запустити шифрування комп'ютера, програмне забезпечення, що вимагає, перевіряє наявність двох файлів у системі. Мутекс - це алгоритм взаємного виключення, він служить для запобігання доступу двох процесів у програму до її критичних розділів (які є фрагментом коду, де можна змінити спільний ресурс).

Якщо ці два мутекси існують, він не виконує жодного шифрування:

"Глобальний \ MsWinZonesCacheCounterMutexA"

"Глобальний \ MsWinZonesCacheCounterMutexW"

Зі свого боку вимога програмного забезпечення створює унікальний випадковий ключ для кожного зашифрованого файлу. Цей ключ є 128 бітним і використовує алгоритм шифрування AES, цей ключ зберігається зашифрованим з відкритим ключем RSA в користувацькому заголовку, який додаток для вимкнення додає до всіх зашифрованих файлів.

Розшифровка файлів можлива лише в тому випадку, якщо у вас є приватний ключ RSA, відповідний відкритому ключу, який використовується для шифрування ключа AES, який використовується у файлах.

Випадковий ключ AES генерується за допомогою функції Windows "CryptGenRandom", на даний момент він не містить відомих вразливих чи слабких сторін, тому в даний час неможливо розробити будь-який інструмент для розшифровки цих файлів, не знаючи приватного ключа RSA, який використовується під час атаки.

Як працює викупна програма Wanacrypt?

Для того, щоб здійснити весь цей процес, програмне забезпечення, що вимагає, створює кілька комп’ютерних потоків на комп'ютері і починає виконувати наступний процес для шифрування документів:

1. Прочитайте оригінальний файл і скопіюйте його, додавши розширення.wnryt Створіть випадкову клавішу AES 128 Зашифруйте файл, скопійований за допомогою AESA Додати заголовок із ключем AES, зашифрований ключем

   публікує RSA, що містить зразок. Перезаписує оригінальний файл із цією зашифрованою копією. Нарешті перейменовує оригінальний файл із розширенням.wnry. Для кожної каталоги, яку розпочато шифрування, шифрується, він генерує ті самі два файли:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Рекомендуємо ознайомитись з основними причинами використання Windows Defender в Windows 10.