Como o wanacrypt ransomware funciona?

O Wanacrypt possui recursos semelhantes a worms e isso significa que ele tenta se espalhar pela rede. Para fazer isso, ele usa a exploração Eternalblue (MS17-010) com a intenção de se espalhar para todas as máquinas que não possuem essa vulnerabilidade corrigida.

Índice de conteúdo

Como o Wanacrypt ransomware funciona?

Algo que chama a atenção desse ransomware é que ele não apenas pesquisa na rede local da máquina afetada, mas também procede à verificação de endereços IP públicos na Internet.

Todas essas ações são executadas pelo serviço que o próprio ramsonware instala após sua execução. Depois que o serviço é instalado e executado, são criados 2 threads responsáveis ​​pelo processo de replicação para outros sistemas.

Na análise, especialistas da área observaram como ele usa exatamente o mesmo código usado pela NSA. A única diferença é que eles não precisam usar a exploração DoublePulsar, pois sua intenção é simplesmente se injetar no processo LSASS (Local Security Authority Subsystem Service).

Para quem não sabe o que é LSASS, é o processo que faz com que os protocolos de segurança do Windows funcionem corretamente, portanto esse processo sempre deve ser executado. Como sabemos, o código de carga útil do EternalBlue não foi alterado.

Se você comparar com as análises existentes, poderá ver como o opcode é idêntico ao opcode…

O que é um código de operação?

Um código de operação, ou código de operação, é um fragmento de uma instrução de linguagem de máquina que especifica a operação a ser executada.

Continuamos…

E esse ransomware faz as mesmas chamadas de função para finalmente injetar as bibliotecas.dll enviadas no processo LSASS e executar sua função "PlayGame", com a qual eles iniciam o processo de infecção novamente na máquina atacada.

Usando uma exploração de código do kernel, todas as operações executadas por malware têm privilégios de sistema ou sistema.

Antes de iniciar a criptografia do computador, o ransomware verifica a existência de dois mutexes no sistema. Um mutex é um algoritmo de exclusão mútua, que serve para impedir que dois processos em um programa acessem suas seções críticas (que são um pedaço de código no qual um recurso compartilhado pode ser modificado).

Se esses dois mutex existirem, ele não executará nenhuma criptografia:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

O ransomware, por sua vez, gera uma chave aleatória exclusiva para cada arquivo criptografado. Essa chave tem 128 bits e usa o algoritmo de criptografia AES; essa chave é mantida criptografada com uma chave pública RSA em um cabeçalho personalizado que o ransomware adiciona a todos os arquivos criptografados.

A descriptografia de arquivos só é possível se você tiver a chave privada RSA correspondente à chave pública usada para criptografar a chave AES usada nos arquivos.

A chave aleatória AES é gerada com a função Windows "CryptGenRandom" no momento em que não contém nenhuma vulnerabilidade ou fraqueza conhecida; portanto, atualmente não é possível desenvolver nenhuma ferramenta para descriptografar esses arquivos sem conhecer a chave privada RSA usada durante o ataque.

Como o Wanacrypt ransomware funciona?

Para realizar todo esse processo, o ransomware cria vários threads de execução no computador e começa a executar o seguinte processo para realizar a criptografia dos documentos:

1. Leia o arquivo original e copie-o adicionando a extensão.wnryt Crie uma chave AES 128 aleatória Criptografe o arquivo copiado com o AESA Adicione um cabeçalho com a chave AES criptografada com a chave

   publica o RSA que carrega a amostra Substitui o arquivo original por esta cópia criptografada Finalmente renomeia o arquivo original com a extensão.wnry Para cada diretório em que o ransomware concluiu a criptografia, ele gera os mesmos dois arquivos:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Recomendamos a leitura dos principais motivos para usar o Windows Defender no Windows 10.