Internet

Hoe werkt wanacrypt ransomware?

2025
Hoe werkt wanacrypt ransomware?

Inhoudsopgave:

Anonim

Wanacrypt heeft wormachtige mogelijkheden en dit betekent dat het probeert zich over het netwerk te verspreiden. Om dit te doen, gebruikt het de Eternalblue-exploit (MS17-010) met de bedoeling zich te verspreiden naar alle machines die dit beveiligingslek niet hebben gepatcht.

Inhoudsindex

Hoe werkt Wanacrypt ransomware?

Iets dat de aandacht van deze ransomware trekt, is dat het niet alleen zoekt binnen het lokale netwerk van de getroffen machine, maar ook doorgaat met het scannen van openbare IP-adressen op internet.

Al deze acties worden uitgevoerd door de service die ramsonware na de uitvoering zelf installeert. Zodra de service is geïnstalleerd en uitgevoerd, worden er 2 threads gemaakt die verantwoordelijk zijn voor het replicatieproces naar andere systemen.

In de analyse hebben experts in het veld waargenomen hoe het precies dezelfde code gebruikt die door de NSA wordt gebruikt. Het enige verschil is dat ze de DoublePulsar-exploit niet hoeven te gebruiken, omdat het hun bedoeling is om zichzelf gewoon in het LSASS-proces (Local Security Authority Subsystem Service) te injecteren.

Voor degenen die niet weten wat LSASS is, is het het proces dat ervoor zorgt dat Windows-beveiligingsprotocollen correct werken, dus dit proces moet altijd worden uitgevoerd. Zoals we kunnen weten, is de EternalBlue-payloadcode niet gewijzigd.

Als je het vergelijkt met bestaande analyses, kun je zien hoe opcode identiek is aan opcode…

Wat is een opcode?

Een opcode of opcode is een fragment van een machinetaalinstructie die aangeeft welke bewerking moet worden uitgevoerd.

We gaan door…

En deze ransomware maakt dezelfde functieaanroepen om eindelijk de.dll-bibliotheken te injecteren die in het LSASS-proces zijn verzonden en de "PlayGame" -functie uit te voeren waarmee ze het infectieproces opnieuw starten op de aangevallen machine.

Door een kernelcode-exploit te gebruiken, hebben alle bewerkingen die door malware worden uitgevoerd SYSTEEM- of systeemrechten.

Voordat de ransomware met de codering van de computer begint, controleert het of er twee mutexen in het systeem zijn. Een mutex is een algoritme voor wederzijdse uitsluiting, dit dient om te voorkomen dat twee processen in een programma toegang krijgen tot de kritieke secties (een stuk code waar een gedeelde bron kan worden gewijzigd).

Als deze twee mutex bestaan, voert het geen codering uit:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

De ransomware genereert op zijn beurt een unieke willekeurige sleutel voor elk gecodeerd bestand. Deze sleutel is 128 bits en gebruikt het AES-coderingsalgoritme. Deze sleutel wordt gecodeerd gehouden met een openbare RSA-sleutel in een aangepaste header die de ransomware toevoegt aan alle gecodeerde bestanden.

Decodering van bestanden is alleen mogelijk als u de RSA-privésleutel hebt die overeenkomt met de openbare sleutel die wordt gebruikt om de AES-sleutel te coderen die in de bestanden wordt gebruikt.

De willekeurige AES-sleutel wordt gegenereerd met de Windows-functie "CryptGenRandom" op het moment dat deze geen bekende kwetsbaarheden of zwakke punten bevat, dus momenteel is het niet mogelijk om een ​​tool te ontwikkelen om deze bestanden te decoderen zonder de RSA-privésleutel te kennen die tijdens de aanval wordt gebruikt.

Hoe werkt Wanacrypt ransomware?

Om al dit proces uit te voeren, creëert de ransomware verschillende uitvoeringsthreads op de computer en begint het volgende proces uit te voeren om de documenten te versleutelen:

  1. Lees het originele bestand en kopieer het door de extensie toe te voegen.wnryt Maak een willekeurige AES 128-sleutel Versleutel het bestand dat met AESA is gekopieerd Voeg een koptekst toe met de sleutel AES versleuteld met de sleutel

    publiceert RSA die het voorbeeld draagt. Overschrijft het originele bestand met deze versleutelde kopie. Hernoemt tenslotte het originele bestand met de extensie.wnry. Voor elke map die de ransomware heeft versleuteld, genereert het dezelfde twee bestanden:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

We raden u aan de belangrijkste redenen te lezen om Windows Defender in Windows 10 te gebruiken.

Hoe een drone werkt

Hoe een drone werkt

Drones zijn kleine vliegende voertuigen die op afstand worden bestuurd door een operator. Om magie te laten gebeuren omdat ze eenvoudigere bedieningselementen gebruiken,

Ip: wat is het, hoe werkt het en hoe verberg je het?

Ip: wat is het, hoe werkt het en hoe verberg je het?

Wat is IP, hoe werkt het en hoe kan ik mijn IP verbergen. Alles wat u moet weten over IP om veilig en verborgen op internet te navigeren. Betekenis IP.

Wat is een ransomware en hoe werkt het?

Wat is een ransomware en hoe werkt het?

Wat is en hoe een ransomware werkt. Kom alles te weten over ransomware en hoe het werkt om het op tijd te kunnen detecteren. Lees hier alles.

Internet

Bewerkers keuze

Verliest HTC interesse in Windows Phone?

Verliest HTC interesse in Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Afbeeldingen van wat de nieuwe Nokia Lumia EOS zou kunnen zijn

Afbeeldingen van wat de nieuwe Nokia Lumia EOS zou kunnen zijn

2025
Build 2013-apparaten: wachten op fabrikanten

Build 2013-apparaten: wachten op fabrikanten

2025
Back to top button