Internet

Paano gumagana ang wanacrypt ransomware?

2025
Paano gumagana ang wanacrypt ransomware?

Talaan ng mga Nilalaman:

Anonim

Ang Wanacrypt ay may mga kakayahan na tulad ng bulate at nangangahulugan ito na sinusubukan nitong kumalat sa network. Upang magawa ito, ginagamit nito ang Eternalblue exploit (MS17-010) na may hangarin na kumalat sa lahat ng mga makina na hindi naka-patch ang kahinaan na ito.

Indeks ng nilalaman

Paano gumagana ang Wanacrypt ransomware?

Isang bagay na nakakakuha ng atensyon ng ransomware na ito ay hindi lamang naghahanap sa loob ng lokal na network ng apektadong makina, ngunit nagagawa ring i-scan ang mga IP address sa internet.

Ang lahat ng mga aksyon na ito ay isinasagawa ng serbisyo na na-install mismo ng ramsonware pagkatapos ng pagpapatupad nito. Kapag ang serbisyo ay naka-install at naisakatuparan, 2 mga thread ay nilikha na namamahala sa proseso ng pagtitiklop sa iba pang mga system.

Sa pagsusuri, napansin ng mga eksperto sa larangan kung paano ito gumamit ng eksaktong parehong code na ginamit ng NSA. Ang pagkakaiba lamang ay hindi nila kailangang gamitin ang DoublePulsar na pagsamantalahan dahil ang kanilang hangarin ay simpleng mag-iniksyon sa kanilang sarili sa proseso ng LSASS (Local Security Authority Subsystem Service).

Para sa mga hindi alam kung ano ang LSASS, ito ay ang proseso na gumagawa ng mga protocol ng seguridad ng Windows nang maayos, kaya ang prosesong ito ay dapat palaging isinasagawa. Tulad ng alam natin, ang EternalBlue payload code ay hindi nabago.

Kung ihahambing mo sa umiiral na mga pag-aaral maaari mong makita kung paano magkapareho ang opcode…

Ano ang isang opcode?

Ang isang opcode, o opcode, ay isang fragment ng isang pagtuturo ng wika ng makina na tumutukoy sa operasyon na isasagawa.

Patuloy kami…

At ang ransomware na ito ay gumagawa ng parehong mga tawag sa pag-andar upang sa wakas ay mag-iniksyon ng.dll mga aklatan na ipinadala sa proseso ng LSASS at isagawa ang function na "PlayGame" na kung saan simulan nila muli ang proseso ng impeksyon sa naatake na makina.

Sa pamamagitan ng paggamit ng isang kernel-code pagsasamantala, ang lahat ng mga operasyon na isinagawa ng malware ay may SYSTEM o mga pribilehiyo ng system.

Bago simulan ang pag-encrypt ng computer, pinatutunayan ng ransomware ang pagkakaroon ng dalawang mutex sa system. Ang mutex ay isang algorithm sa pagbubukod ng isa't isa, nagsisilbi upang maiwasan ang dalawang mga proseso sa isang programa mula sa pag-access sa mga kritikal na mga seksyon (na kung saan ay isang piraso ng code kung saan maaaring mabago ang isang ibinahaging mapagkukunan).

Kung umiiral ang dalawang mutex na ito, hindi ito nagsasagawa ng anumang pag-encrypt:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ang ransomware, para sa bahagi nito, ay bumubuo ng isang natatanging random key para sa bawat naka-encrypt na file. Ang susi na ito ay 128 bits at gumagamit ng algorithm ng pag-encrypt ng AES, ang susi na ito ay pinananatiling naka-encrypt na may isang pampublikong RSA key sa isang pasadyang header na idinagdag ng ransomware sa lahat ng naka-encrypt na mga file.

Ang pag-decryption ng mga file ay posible lamang kung mayroon kang pribadong key ng RSA na naaayon sa pampublikong key na ginamit upang i-encrypt ang AES key na ginamit sa mga file.

Ang random na key ng AES ay nabuo gamit ang Windows function na "CryptGenRandom" sa sandaling ito ay hindi naglalaman ng anumang kilalang mga kahinaan o kahinaan, kaya sa kasalukuyan ay hindi posible na bumuo ng anumang tool upang mai-decrypt ang mga file na ito nang hindi nalalaman ang pribadong key ng RSA na ginamit sa pag-atake.

Paano gumagana ang Wanacrypt ransomware?

Upang maisagawa ang lahat ng prosesong ito, ang ransomware ay lumilikha ng ilang mga thread ng pagpapatupad sa computer at nagsisimulang isagawa ang sumusunod na proseso upang maisagawa ang pag-encrypt ng mga dokumento:

  1. Basahin ang orihinal na file at kopyahin ito sa pamamagitan ng pagdaragdag ng extension.wnryt Gumawa ng isang random na key AES 128 I-encrypt ang file na kinopya ng AESA Magdagdag ng isang header na may key na naka-encrypt na AESA gamit ang key

    naglathala ng RSA na nagdadala ng halimbawang.Pagsusulat ng orihinal na file na may naka-encrypt na kopya na ito Sa wakas ay pinangalanan ang orihinal na file na may extension.wnry Para sa bawat direktoryo na natapos ng ransomware ang pag-encrypt, bumubuo ito ng parehong dalawang file:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Inirerekumenda naming basahin ang mga pangunahing dahilan upang magamit ang Windows Defender sa Windows 10.

Ip: ano ito, paano ito gumagana at kung paano itago ito

Ip: ano ito, paano ito gumagana at kung paano itago ito

Ano ang IP, paano ito gumagana at paano ko maitatago ang aking IP. Lahat ng kailangan mong malaman tungkol sa IP upang mai-navigate nang ligtas at nakatago sa Internet. Ibig sabihin IP.

Ano ang isang ransomware at kung paano ito gumagana

Ano ang isang ransomware at kung paano ito gumagana

Ano at kung paano gumagana ang isang ransomware. Alamin ang lahat tungkol sa ransomware at kung paano ito gumagana upang makita ito sa oras. Basahin ang lahat dito.

Ang 75% ng mga gumagamit sa america ay hindi alam kung paano gumagana ang facebook

Ang 75% ng mga gumagamit sa america ay hindi alam kung paano gumagana ang facebook

Ang 75% ng mga gumagamit sa Amerika ay hindi alam kung paano gumagana ang Facebook. Alamin ang higit pa tungkol sa pag-aaral na ito sa social network.

Internet

Pagpili ng editor

Nawawalan ba ng interes ang HTC sa Windows Phone?

Nawawalan ba ng interes ang HTC sa Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Mga larawan ng kung ano ang maaaring bagong Nokia Lumia EOS

Mga larawan ng kung ano ang maaaring bagong Nokia Lumia EOS

2025
Build 2013 na mga device: naghihintay ng mga manufacturer

Build 2013 na mga device: naghihintay ng mga manufacturer

2025
Back to top button