wanacrypt ransomware ทำงานอย่างไร

Wanacrypt มีความสามารถเหมือนเวิร์มซึ่ง หมายความว่ามันพยายามแพร่กระจายผ่านเครือข่าย ในการทำเช่นนี้จะใช้ Eternalblue exploit (MS17-010) ด้วยความตั้งใจที่จะแพร่กระจายไปยังเครื่องทั้งหมดที่ไม่มีช่องโหว่นี้

ดัชนีเนื้อหา

Wanacrypt ransomware ทำงานอย่างไร

สิ่งที่ดึงดูดความสนใจของ ransomware นี้ ไม่เพียงค้นหาภายในเครือข่ายท้องถิ่นของเครื่องที่ได้รับผลกระทบ แต่ยังดำเนินการสแกนที่อยู่ IP สาธารณะบนอินเทอร์เน็ต

การกระทำทั้งหมดนี้ดำเนินการโดยบริการที่ ramsonware ติดตั้งเองหลังจากการทำงาน เมื่อบริการถูกติดตั้งและดำเนินการแล้วจะมีการสร้าง 2 เธรดซึ่งรับผิดชอบกระบวนการจำลองแบบไปยังระบบอื่น

ในการวิเคราะห์ผู้เชี่ยวชาญในสาขาได้สังเกตว่ามันใช้รหัสเดียวกันกับที่ NSA ใช้ ความแตกต่างเพียงอย่างเดียวคือพวกเขาไม่จำเป็นต้องใช้การหาประโยชน์ DoublePulsar เนื่องจากความตั้งใจของพวกเขาคือเพียงเพื่อฉีดตัวเองเข้าสู่กระบวนการ LSASS (Local Security Authority Subsystem Service) กระบวนการ

สำหรับผู้ที่ไม่ทราบว่า LSASS คืออะไรมันเป็นกระบวนการที่ทำให้โปรโตคอลความปลอดภัยของ Windows ทำงานได้อย่างถูกต้อง ดังนั้นควรดำเนินการกระบวนการนี้เสมอ อย่างที่เราสามารถทราบได้ว่าโค้ดของ EternalBlue ยังไม่ได้รับการแก้ไข

หากคุณเปรียบเทียบกับการวิเคราะห์ที่มีอยู่คุณสามารถดูว่า opcode เหมือนกันกับ opcode อย่างไร…

opcode คืออะไร

opcode หรือ opcode เป็นส่วนของคำสั่งภาษาเครื่องที่ระบุการดำเนินการที่จะดำเนินการ

เราดำเนินการต่อ…

และ ransomware นี้ทำให้การเรียกใช้ฟังก์ชั่นเดียวกันในที่สุดก็ฉีดไลบรารี. dll ที่ส่งในกระบวนการ LSASS และดำเนินการฟังก์ชั่น "PlayGame" ซึ่งพวกเขาเริ่มกระบวนการติดเชื้ออีกครั้งบนเครื่องที่ถูกโจมตี

โดยการใช้ประโยชน์จากเคอร์เนลรหัสการดำเนินการทั้งหมดที่ดำเนินการโดยมัลแวร์มีสิทธิ์ของระบบหรือระบบ

ก่อนเริ่มการเข้ารหัสของคอมพิวเตอร์ ransomware จะตรวจสอบการมีอยู่ของสอง mutexes ในระบบ mutex เป็นอัลกอริทึมการแยกซึ่งกันและกันทำหน้าที่เพื่อป้องกันสองกระบวนการในโปรแกรมจากการเข้าถึงส่วนที่สำคัญของมัน (ซึ่งเป็นชิ้นส่วนของรหัสที่สามารถแก้ไขทรัพยากรที่ใช้ร่วมกัน)

หากทั้งสอง mutex มีอยู่มันจะไม่ทำการเข้ารหัสใด ๆ:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

ในส่วนของ ransomware สร้างคีย์สุ่มเฉพาะสำหรับไฟล์ที่เข้ารหัสแต่ละไฟล์ คีย์ นี้ คือ 128 บิตและใช้อัลกอริทึมการเข้ารหัส AES คีย์นี้ถูกเข้ารหัสด้วยคีย์ RSA สาธารณะในส่วนหัวที่กำหนดเองที่ ransomware เพิ่มลงในไฟล์ที่เข้ารหัสทั้งหมด

การถอดรหัสไฟล์เป็นไปได้เฉพาะถ้าคุณมีคีย์ส่วนตัว RSA ที่สอดคล้องกับกุญแจสาธารณะที่ใช้ในการเข้ารหัสคีย์ AES ที่ใช้ในไฟล์

รหัสสุ่ม AES ถูกสร้างขึ้นด้วยฟังก์ชั่น Windows "CryptGenRandom" ในขณะนี้ยังไม่มีช่องโหว่หรือจุดอ่อนที่ทราบดังนั้นขณะนี้จึงไม่สามารถพัฒนาเครื่องมือใด ๆ เพื่อถอดรหัสไฟล์เหล่านี้โดยไม่ทราบว่าคีย์ส่วนตัวของ RSA ใช้ในระหว่างการโจมตี

Wanacrypt ransomware ทำงานอย่างไร

เพื่อดำเนินการตามกระบวนการทั้งหมดนี้ ransomware จะสร้างเธรดการประมวลผลหลายเธรดบนคอมพิวเตอร์ และเริ่มดำเนินการตามกระบวนการต่อไปนี้เพื่อทำการเข้ารหัสของเอกสาร:

1. อ่านไฟล์ต้นฉบับและคัดลอกโดยเพิ่มนามสกุล. wnryt สร้างคีย์ AES 128 แบบสุ่มเข้ารหัสไฟล์ที่คัดลอกด้วย AESA เพิ่มส่วนหัวด้วยปุ่ม AES เข้ารหัสด้วยคีย์

   เผยแพร่ RSA ที่มีตัวอย่างเขียนทับไฟล์ต้นฉบับด้วยสำเนาที่เข้ารหัสนี้ในที่สุดก็เปลี่ยนชื่อไฟล์ต้นฉบับด้วยนามสกุล. wnry สำหรับแต่ละไดเร็กทอรีที่ ransomware เข้ารหัสเสร็จแล้วจะสร้างไฟล์สองไฟล์เดียวกัน:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

เราขอแนะนำให้อ่าน เหตุผล หลัก ในการใช้ Windows Defender ใน Windows 10