Internet

Come funziona wanacrypt ransomware?

2025
Come funziona wanacrypt ransomware?

Sommario:

Anonim

Wanacrypt ha funzionalità simili a worm e questo significa che tenta di diffondersi sulla rete. Per fare ciò, utilizza l'exploit Eternalblue (MS17-010) con l'intenzione di diffondersi a tutte le macchine che non hanno questa vulnerabilità patchata.

Indice dei contenuti

Come funziona Wanacrypt ransomware?

Qualcosa che attira l'attenzione di questo ransomware è che non solo cerca all'interno della rete locale della macchina interessata, ma procede anche alla scansione di indirizzi IP pubblici su Internet.

Tutte queste azioni vengono eseguite dal servizio che ramsonware stesso installa dopo la sua esecuzione. Una volta che il servizio è installato ed eseguito, vengono creati 2 thread che sono responsabili del processo di replica su altri sistemi.

Nell'analisi, gli esperti del settore hanno osservato come utilizza esattamente lo stesso codice utilizzato dalla NSA. L'unica differenza è che non hanno bisogno di usare l'exploit DoublePulsar poiché la loro intenzione è semplicemente quella di inserirsi nel processo LSASS (Local Security Authority Subsystem Service).

Per coloro che non sanno cosa sia LSASS, è il processo che fa funzionare correttamente i protocolli di sicurezza di Windows, quindi questo processo deve essere sempre eseguito. Come sappiamo, il codice del payload EternalBlue non è stato modificato.

Se confronti con le analisi esistenti puoi vedere come opcode è identico a opcode…

Che cos'è un codice operativo?

Un codice operativo, o codice operativo, è un frammento di un'istruzione di linguaggio macchina che specifica l'operazione da eseguire.

Continuiamo…

E questo ransomware effettua le stesse chiamate di funzione per iniettare finalmente le librerie.dll inviate nel processo LSASS ed eseguire la sua funzione "PlayGame" con la quale avviano nuovamente il processo di infezione sulla macchina attaccata.

Usando un exploit del codice kernel, tutte le operazioni eseguite da malware hanno privilegi di SISTEMA o di sistema.

Prima di avviare la crittografia del computer, il ransomware verifica l'esistenza di due mutex nel sistema. Un mutex è un algoritmo di esclusione reciproca, questo serve a impedire a due processi in un programma di accedere alle sue sezioni critiche (che sono un pezzo di codice in cui una risorsa condivisa può essere modificata).

Se questi due mutex esistono, non esegue alcuna crittografia:

"Global \ MsWinZonesCacheCounterMutexA"

"Global \ MsWinZonesCacheCounterMutexW"

Il ransomware, da parte sua, genera una chiave casuale univoca per ciascun file crittografato. Questa chiave è a 128 bit e utilizza l'algoritmo di crittografia AES, questa chiave viene mantenuta crittografata con una chiave pubblica RSA in un'intestazione personalizzata che il ransomware aggiunge a tutti i file crittografati.

La decrittografia dei file è possibile solo se si dispone della chiave privata RSA corrispondente alla chiave pubblica utilizzata per crittografare la chiave AES utilizzata nei file.

La chiave casuale AES viene generata con la funzione Windows "CryptGenRandom" al momento non contiene vulnerabilità o punti deboli noti, quindi attualmente non è possibile sviluppare alcuno strumento per decrittografare questi file senza conoscere la chiave privata RSA utilizzata durante l'attacco.

Come funziona Wanacrypt ransomware?

Al fine di eseguire tutto questo processo, il ransomware crea diversi thread di esecuzione sul computer e inizia a eseguire il seguente processo per eseguire la crittografia dei documenti:

  1. Leggi il file originale e copialo aggiungendo l'estensione.wnryt Crea una chiave AES 128 casuale Cripta il file copiato con AESA Aggiungi un'intestazione con la chiave AES crittografata con la chiave

    pubblica RSA che porta l'esempio Sovrascrive il file originale con questa copia crittografata Infine rinomina il file originale con l'estensione.wnry Per ogni directory che il ransomware ha terminato la crittografia, genera gli stessi due file:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Ti consigliamo di leggere i motivi principali per utilizzare Windows Defender in Windows 10.

Come funziona un drone

Come funziona un drone

I droni sono piccoli veicoli volanti controllati a distanza da un operatore. Perché avvenga la magia poiché usano controlli più semplici,

Ip: cos'è, come funziona e come nasconderlo

Ip: cos'è, come funziona e come nasconderlo

Che cos'è l'IP, come funziona e come posso nascondere il mio IP. Tutto ciò che devi sapere sull'IP per navigare in sicurezza e nascosto su Internet. Significato IP.

Che cos'è un ransomware e come funziona

Che cos'è un ransomware e come funziona

Cos'è e come funziona un ransomware. Scopri tutto sul ransomware e su come funziona per poterlo rilevare in tempo. Leggi tutto qui.

Internet

Scelta dell'editore

HTC sta perdendo interesse per Windows Phone?

HTC sta perdendo interesse per Windows Phone?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

Immagini di quello che potrebbe essere il nuovo Nokia Lumia EOS

2025
Dispositivi Build 2013: in attesa dei produttori

Dispositivi Build 2013: in attesa dei produttori

2025
Back to top button