كيف يعمل برنامج wanacrypt ransomware؟

جدول المحتويات:

كيف يعمل Wanacrypt Ransomware؟
ما هو كود التشغيل؟
نواصل ...
كيف يعمل Wanacrypt Ransomware؟

لدى Wanacrypt إمكانات تشبه الديدان وهذا يعني أنه يحاول الانتشار عبر الشبكة. للقيام بذلك ، يستخدم استغلال Eternalblue (MS17-010) بقصد الانتشار إلى جميع الأجهزة التي لم يتم تصحيح هذه الثغرة الأمنية.

فهرس المحتويات

كيف يعمل Wanacrypt Ransomware؟

الشيء الذي لفت انتباه برنامج الفدية هذا هو أنه لا يقوم فقط بالبحث داخل الشبكة المحلية للجهاز المتأثر ، ولكنه يشرع أيضًا في فحص عناوين IP العامة على الإنترنت.

يتم تنفيذ جميع هذه الإجراءات من خلال الخدمة التي تثبتها ramsonware نفسها بعد تنفيذها. بمجرد تثبيت الخدمة وتنفيذها ، يتم إنشاء سلسلتين مسؤولتين عن عملية النسخ المتماثل للأنظمة الأخرى.

في التحليل ، لاحظ الخبراء في هذا المجال كيف يستخدم بالضبط نفس الرمز الذي تستخدمه وكالة الأمن القومي. والفرق الوحيد هو أنهم ليسوا بحاجة لاستخدام استغلال DoublePulsar لأن هدفهم هو ببساطة حقن أنفسهم في عملية خدمة النظام الفرعي لسلطة الأمان المحلي (LSASS).

بالنسبة لأولئك الذين لا يعرفون ما هو LSASS ، فإن العملية هي التي تجعل بروتوكولات أمان Windows تعمل بشكل صحيح ، لذلك يجب تنفيذ هذه العملية دائمًا. كما نعلم ، لم يتم تغيير رمز حمولة EternalBlue.

إذا قارنت بالتحليلات الموجودة ، يمكنك أن ترى كيف يتطابق رمز التشغيل مع كود التشغيل…

ما هو كود التشغيل؟

كود التشغيل أو كود التشغيل هو جزء من تعليمات لغة الآلة التي تحدد العملية التي سيتم تنفيذها.

نواصل…

ويقوم برنامج الفدية هذا بإجراء نفس الاستدعاءات الوظيفية لإدخال مكتبات.dll التي تم إرسالها في عملية LSASS وتنفيذ وظيفة "PlayGame" التي يبدأون بها عملية العدوى مرة أخرى على الجهاز الذي تمت مهاجمته.

باستخدام برمجية إكسبلويت kernel-code استغلال جميع العمليات التي تنفذها البرمجيات الخبيثة امتيازات النظام أو النظام.

قبل بدء تشفير الكمبيوتر ، يتحقق برنامج الفدية من وجود اثنين من كائنات المزامنة في النظام. يعد كائن المزامنة خوارزمية استبعاد متبادل ، وهذا يعمل على منع عمليتين في البرنامج من الوصول إلى أقسامه الحرجة (وهي جزء من التعليمات البرمجية حيث يمكن تعديل مورد مشترك).

في حالة وجود هذين المؤشرين ، لا يتم إجراء أي تشفير:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW"

من جانبه ، يولد برنامج الفدية مفتاحًا عشوائيًا فريدًا لكل ملف مشفر. هذا المفتاح هو 128 بت ويستخدم خوارزمية تشفير AES ، يتم الاحتفاظ بهذا المفتاح مشفرًا بمفتاح RSA عام في رأس مخصص يضيفه برنامج الفدية إلى جميع الملفات المشفرة.

لا يمكن فك تشفير الملفات إلا إذا كان لديك مفتاح RSA الخاص المطابق للمفتاح العام المستخدم لتشفير مفتاح AES المستخدم في الملفات.

يتم إنشاء مفتاح AES العشوائي باستخدام وظيفة Windows "CryptGenRandom" في الوقت الحالي لا يحتوي على أي نقاط ضعف أو نقاط ضعف معروفة ، لذلك لا يمكن حاليًا تطوير أي أداة لفك تشفير هذه الملفات دون معرفة مفتاح RSA الخاص المستخدم أثناء الهجوم.

كيف يعمل Wanacrypt Ransomware؟

من أجل تنفيذ كل هذه العملية ، تقوم برامج الفدية بإنشاء العديد من سلاسل التنفيذ على الكمبيوتر وتبدأ في تنفيذ العملية التالية لتنفيذ تشفير المستندات:

قراءة الملف الأصلي ونسخه عن طريق إضافة الملحق. wnryt إنشاء مفتاح AES 128 عشوائي تشفير الملف المنسوخ باستخدام AESA إضافة رأس مع المفتاح AES مشفر بالمفتاح

ينشر RSA الذي يحمل العينة. يستبدل الملف الأصلي بهذه النسخة المشفرة وأخيرًا يعيد تسمية الملف الأصلي بالملحق.wnry لكل دليل انتهى برنامج الفدية من تشفيره ، يقوم بإنشاء نفس الملفين:

@ Please_Read_Me @.txt

@ WanaDecryptor @.exe

نوصي بقراءة الأسباب الرئيسية لاستخدام Windows Defender في Windows 10.