Bagaimana cara kerja wanacrypt ransomware?

Wanacrypt memiliki kemampuan mirip worm dan ini berarti ia mencoba menyebar ke jaringan. Untuk melakukan ini, ia menggunakan exploit Eternalblue (MS17-010) dengan maksud menyebar ke semua mesin yang tidak memiliki kerentanan ini ditambal.

Indeks isi

Bagaimana cara kerja ransomware Wanacrypt?

Sesuatu yang menarik perhatian ransomware ini adalah tidak hanya mencari di dalam jaringan lokal dari mesin yang terpengaruh, tetapi juga mulai memindai alamat IP publik di internet.

Semua tindakan ini dilakukan oleh layanan yang ramsonware sendiri instal setelah eksekusi. Setelah layanan diinstal dan dieksekusi, 2 utas dibuat yang bertanggung jawab atas proses replikasi ke sistem lain.

Dalam analisis, para ahli di lapangan telah mengamati bagaimana ia menggunakan kode yang persis sama yang digunakan oleh NSA. Satu-satunya perbedaan adalah bahwa mereka tidak perlu menggunakan eksploitasi DoublePulsar karena niat mereka hanya untuk menyuntikkan diri mereka ke dalam proses LSASS (Otoritas Subsistem Layanan Keamanan Lokal).

Bagi mereka yang tidak tahu apa itu LSASS, itu adalah proses yang membuat protokol keamanan Windows bekerja dengan benar, sehingga proses ini harus selalu dijalankan. Seperti yang kita ketahui, kode muatan EternalBlue belum diubah.

Jika Anda membandingkan dengan analisis yang ada, Anda dapat melihat bagaimana opcode identik dengan opcode…

Apa itu opcode?

Sebuah opcode, atau opcode, adalah sebuah fragmen dari instruksi bahasa mesin yang menentukan operasi yang akan dilakukan.

Kami melanjutkan…

Dan ransomware ini membuat panggilan fungsi yang sama untuk akhirnya menyuntikkan pustaka.dll yang dikirim dalam proses LSASS dan menjalankan fungsi "PlayGame" yang dengannya mereka memulai proses infeksi lagi pada mesin yang diserang.

Dengan menggunakan eksploitasi kode-kernel, semua operasi yang dilakukan oleh malware memiliki SISTEM atau hak istimewa sistem.

Sebelum memulai enkripsi komputer, ransomware memverifikasi keberadaan dua mutex dalam sistem. Mutex adalah algoritma pengecualian bersama, ini berfungsi untuk mencegah dua proses dalam suatu program mengakses bagian kritisnya (yang merupakan bagian dari kode di mana sumber daya bersama dapat dimodifikasi).

Jika dua mutex ini ada, itu tidak melakukan enkripsi apa pun:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

Ransomware, untuk bagiannya, menghasilkan kunci acak unik untuk setiap file yang dienkripsi. Kunci ini 128 bit dan menggunakan algoritma enkripsi AES, kunci ini disimpan terenkripsi dengan kunci RSA publik dalam header khusus yang ditambahkan ransomware ke semua file yang dienkripsi.

Dekripsi file hanya mungkin jika Anda memiliki kunci privat RSA yang sesuai dengan kunci publik yang digunakan untuk mengenkripsi kunci AES yang digunakan dalam file.

Kunci acak AES dihasilkan dengan fungsi Windows "CryptGenRandom" saat ini tidak mengandung kerentanan atau kelemahan yang diketahui, jadi saat ini tidak mungkin untuk mengembangkan alat apa pun untuk mendekripsi file-file ini tanpa mengetahui kunci pribadi RSA yang digunakan selama serangan.

Bagaimana cara kerja ransomware Wanacrypt?

Untuk melakukan semua proses ini, ransomware membuat beberapa utas eksekusi di komputer dan mulai melakukan proses berikut untuk melakukan enkripsi dokumen:

1. Baca file asli dan salin dengan menambahkan ekstensi.wnryt Buat kunci AES 128 acak Mengenkripsi file yang disalin dengan AESA Tambahkan header dengan kunci AES dienkripsi dengan kunci

   menerbitkan RSA yang membawa sampel. Menimpa file asli dengan salinan terenkripsi ini. Akhirnya mengubah nama file asli dengan ekstensi.wnry Untuk setiap direktori yang ransomware telah selesai dienkripsi, itu menghasilkan dua file yang sama:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Kami merekomendasikan membaca alasan utama untuk menggunakan Windows Defender di Windows 10.