Internet

Wie funktioniert Wanacrypt Ransomware?

2024
Wie funktioniert Wanacrypt Ransomware?

Inhaltsverzeichnis:

Anonim

Wanacrypt verfügt über wurmartige Funktionen und versucht daher, sich über das Netzwerk zu verbreiten. Zu diesem Zweck wird der Eternalblue-Exploit (MS17-010) verwendet, um ihn auf alle Computer zu übertragen, auf denen diese Sicherheitsanfälligkeit nicht gepatcht ist.

Inhaltsverzeichnis

Wie funktioniert Wanacrypt Ransomware?

Etwas, das die Aufmerksamkeit dieser Ransomware auf sich zieht, ist, dass sie nicht nur im lokalen Netzwerk des betroffenen Computers sucht, sondern auch öffentliche IP-Adressen im Internet scannt.

Alle diese Aktionen werden von dem Dienst ausgeführt, den Ramsonware selbst nach seiner Ausführung installiert. Sobald der Dienst installiert und ausgeführt wurde, werden 2 Threads erstellt, die für den Replikationsprozess auf andere Systeme verantwortlich sind.

In der Analyse haben Experten auf diesem Gebiet beobachtet, wie genau derselbe Code verwendet wird, der von der NSA verwendet wird. Der einzige Unterschied besteht darin, dass sie den DoublePulsar-Exploit nicht verwenden müssen, da sie lediglich beabsichtigen, sich in den LSASS-Prozess (Local Security Authority Subsystem Service) einzubringen.

Für diejenigen, die nicht wissen, was LSASS ist, ist es der Prozess, der dafür sorgt, dass Windows-Sicherheitsprotokolle ordnungsgemäß funktionieren. Daher sollte dieser Prozess immer ausgeführt werden. Wie wir wissen, wurde der EternalBlue-Nutzdatencode nicht geändert.

Wenn Sie mit vorhandenen Analysen vergleichen, können Sie sehen, wie Opcode mit Opcode identisch ist…

Was ist ein Opcode?

Ein Opcode oder Opcode ist ein Fragment einer Maschinensprachenanweisung, die die auszuführende Operation angibt.

Wir fahren fort…

Und diese Ransomware führt dieselben Funktionsaufrufe durch, um die im LSASS-Prozess gesendeten DLL-Bibliotheken endgültig einzuschleusen und ihre "PlayGame" -Funktion auszuführen, mit der sie den Infektionsprozess auf dem angegriffenen Computer erneut starten.

Durch die Verwendung eines Kernel-Code-Exploits verfügen alle von Malware ausgeführten Vorgänge über SYSTEM- oder Systemberechtigungen.

Vor dem Starten der Verschlüsselung des Computers überprüft die Ransomware das Vorhandensein von zwei Mutexen im System. Ein Mutex ist ein Algorithmus zum gegenseitigen Ausschluss. Dies dient dazu, zu verhindern, dass zwei Prozesse in einem Programm auf seine kritischen Abschnitte zugreifen (ein Teil des Codes, in dem eine gemeinsam genutzte Ressource geändert werden kann).

Wenn diese beiden Mutex vorhanden sind, wird keine Verschlüsselung durchgeführt:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Die Ransomware generiert ihrerseits einen eindeutigen Zufallsschlüssel für jede verschlüsselte Datei. Dieser Schlüssel ist 128 Bit groß und verwendet den AES-Verschlüsselungsalgorithmus. Dieser Schlüssel wird mit einem öffentlichen RSA-Schlüssel in einem benutzerdefinierten Header verschlüsselt, den die Ransomware allen verschlüsselten Dateien hinzufügt.

Die Entschlüsselung von Dateien ist nur möglich, wenn Sie den privaten RSA-Schlüssel haben, der dem öffentlichen Schlüssel entspricht, der zum Verschlüsseln des in den Dateien verwendeten AES-Schlüssels verwendet wird.

Der AES-Zufallsschlüssel wird mit der Windows-Funktion "CryptGenRandom" generiert, da er derzeit keine bekannte Sicherheitslücke oder Schwachstelle enthält. Daher ist es derzeit nicht möglich, ein Tool zum Entschlüsseln dieser Dateien zu entwickeln, ohne den während des Angriffs verwendeten privaten RSA-Schlüssel zu kennen.

Wie funktioniert Wanacrypt Ransomware?

Um diesen gesamten Prozess auszuführen, erstellt die Ransomware mehrere Ausführungsthreads auf dem Computer und beginnt mit dem folgenden Prozess, um die Verschlüsselung der Dokumente durchzuführen:

  1. Lesen Sie die Originaldatei und kopieren Sie sie, indem Sie die Erweiterung.wnryt hinzufügen. Erstellen eines zufälligen AES 128-Schlüssels Verschlüsseln Sie die mit AESA kopierte Datei. Fügen Sie einen Header mit dem mit dem Schlüssel verschlüsselten Schlüssel AES hinzu

    veröffentlicht RSA, das das Beispiel enthält. Überschreibt die Originaldatei mit dieser verschlüsselten Kopie. Benennt die Originaldatei schließlich mit der Erweiterung.wnry um. Für jedes Verzeichnis, das die Ransomware verschlüsselt hat, werden dieselben zwei Dateien generiert:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Wir empfehlen, die Hauptgründe für die Verwendung von Windows Defender in Windows 10 zu lesen.

Wie eine Drohne funktioniert

Wie eine Drohne funktioniert

Drohnen sind kleine fliegende Fahrzeuge, die von einem Bediener ferngesteuert werden. Damit Magie geschieht, da sie einfachere Steuerelemente verwenden,

Ip: Was ist das, wie funktioniert es und wie kann man es verstecken?

Ip: Was ist das, wie funktioniert es und wie kann man es verstecken?

Was ist IP, wie funktioniert es und wie kann ich meine IP ausblenden? Alles, was Sie über IP wissen müssen, um sicher und versteckt im Internet zu navigieren. Bedeutung IP.

Was ist eine Ransomware und wie funktioniert sie?

Was ist eine Ransomware und wie funktioniert sie?

Was ist und wie funktioniert eine Ransomware? Erfahren Sie alles über Ransomware und wie es funktioniert, um es rechtzeitig erkennen zu können. Lesen Sie hier alles.

Internet

Die Wahl des Herausgebers

Verliert HTC das Interesse an Windows Phone?

Verliert HTC das Interesse an Windows Phone?

2024
Samsung Ativ Q

Samsung Ativ Q

2024
Bilder des neuen Nokia Lumia EOS

Bilder des neuen Nokia Lumia EOS

2024
Build 2013-Geräte: Warten auf Hersteller

Build 2013-Geräte: Warten auf Hersteller

2024
Back to top button