כיצד פועלת תוכנת ransom של wanacrypt?

ל- Wanacrypt יכולות דומות לתולעת וזה אומר שהיא מנסה להתפשט על הרשת. לשם כך הוא משתמש בניצול Eternalblue (MS17-010) מתוך כוונה להתפשט לכל המכונות שאין בהן תיקון פגיעות זו.

מדד התוכן

כיצד פועלת תוכנת ה- Ransomware של Wanacrypt?

משהו שמושך את תשומת לבו של תוכנת ransomware זה שהוא לא רק מחפש ברשת המקומית של המכונה המושפעת, אלא גם ממשיך לסרוק כתובות IP ציבוריות באינטרנט.

כל הפעולות הללו מבוצעות על ידי השירות אותו מתקין ramsonware עצמו לאחר ביצועו. לאחר התקנת והשירות של השירות, נוצרים 2 אשכולות האחראים על תהליך השכפול למערכות אחרות.

בניתוח, מומחים בתחום הבחינו כיצד הוא משתמש בדיוק באותו קוד ששימש את ה- NSA. ההבדל היחיד הוא שאין להם שום צורך להשתמש בניצול DoublePulsar מכיוון שכוונתם היא פשוט להזרים את עצמם לתהליך LSASS (שירות מערכת המשנה לרשות הביטחון המקומית).

למי שלא יודע מה זה LSASS, זהו התהליך שגורם לפרוטוקולי האבטחה של Windows לעבוד נכון, ולכן תמיד יש לבצע תהליך זה. כידוע, קוד המטען של EternalBlue לא השתנה.

אם אתה משווה לניתוחים קיימים אתה יכול לראות כיצד קוד הקוד זהה ל- opcode…

מהו קוד קוד?

קוד-קוד, או קוד-על, הוא קטע מההוראות בשפת מכונה המציין את הפעולה שיש לבצע.

אנו ממשיכים…

ותוכנת הכופר הזו מבצעת את אותן קריאות של פונקציות להזרים סוף סוף את ספריות ה-.dll שנשלחות בתהליך LSASS ולבצע את פונקציית "PlayGame" שלה איתן הן מתחילות שוב את תהליך ההדבקה במכונה המותקפת.

על ידי שימוש בניצול קוד גרעין, לכל הפעולות המבוצעות על ידי תוכנות זדוניות יש הרשאות מערכת או מערכת.

לפני תחילת ההצפנה של המחשב, תוכנת הנספה מאמתת את קיומם של שני אילםים במערכת. Mutex הוא אלגוריתם של הרחקה הדדית, זה משמש למניעת שני תהליכים בתוכנית לגשת לחלקים הקריטיים שלה (שהם פיסת קוד שבהם ניתן לשנות משאב משותף).

אם שני mutex אלה קיימים, הוא אינו מבצע שום הצפנה:

'גלובלי \ MsWinZonesCacheCounterMutexA'

'גלובלי \ MsWinZonesCacheCounterMutexW'

תוכנת הכופר מצידה, מייצרת מפתח אקראי ייחודי לכל קובץ מוצפן. מפתח זה הוא 128 סיביות ומשתמש באלגוריתם ההצפנה של AES, מפתח זה נשמר מוצפן באמצעות מפתח RSA ציבורי בכותרת מותאמת אישית ש- Ransomware מוסיף לכל הקבצים המוצפנים.

פענוח קבצים אפשרי רק אם יש לך את המפתח הפרטי RSA המתאים למפתח הציבורי המשמש להצפנת מפתח AES המשמש בקבצים.

המפתח האקראי AES נוצר באמצעות פונקציית Windows "CryptGenRandom" כרגע הוא אינו מכיל פגיעויות או חולשות ידועות, ולכן נכון לעכשיו לא ניתן לפתח שום כלי לפענוח קבצים אלה מבלי לדעת את המפתח הפרטי RSA ששימש במהלך ההתקפה.

כיצד פועלת תוכנת ה- Ransomware של Wanacrypt?

על מנת לבצע את כל התהליך הזה, תוכנת ה- Ransomware יוצרת מספר חוטי ביצוע במחשב ומתחילה לבצע את התהליך הבא לביצוע הצפנת המסמכים:

1. קרא את הקובץ המקורי והעתק אותו על ידי הוספת הסיומת.wnryt יצירת מפתח AES 128 אקראי הצפן את הקובץ שהועתק עם AESA הוסף כותרת עם המפתח AES מוצפן באמצעות המפתח.

   מפרסם RSA הנושא את הדגימה. מחליף את הקובץ המקורי בעותק מוצפן זה סוף סוף משנה את הקובץ המקורי עם התוסף.wnry עבור כל ספרייה שסיימת תוכנת ה- Ransomware הצפינה, היא יוצרת את אותם שני קבצים:

   @ אנא_קרא_מילה @.txt

   @ WanaDecryptor @.exe

אנו ממליצים לקרוא את הסיבות העיקריות לשימוש ב- Windows Defender במערכת Windows 10.