Wanacrypt ransomware ఎలా పని చేస్తుంది?

Wanacrypt పురుగు లాంటి సామర్ధ్యాలను కలిగి ఉంది మరియు దీని అర్థం ఇది నెట్‌వర్క్‌లో వ్యాప్తి చెందడానికి ప్రయత్నిస్తుంది. ఇది చేయుటకు, ఈ దుర్బలత్వం లేని అన్ని యంత్రాలకు వ్యాప్తి చేయాలనే ఉద్దేశ్యంతో ఇది ఎటర్నల్ బ్లూ దోపిడీని (MS17-010) ఉపయోగిస్తుంది.

విషయ సూచిక

Wanacrypt ransomware ఎలా పని చేస్తుంది?

ఈ ransomware దృష్టిని ఆకర్షించే విషయం ఏమిటంటే, ఇది ప్రభావిత యంత్రం యొక్క స్థానిక నెట్‌వర్క్‌లో శోధించడమే కాక, ఇంటర్నెట్‌లో పబ్లిక్ IP చిరునామాలను స్కాన్ చేయడానికి కూడా ముందుకు వస్తుంది.

ఈ చర్యలన్నీ రామ్‌సన్‌వేర్ అమలు చేసిన తర్వాత ఇన్‌స్టాల్ చేసే సేవ ద్వారా నిర్వహించబడతాయి. సేవ వ్యవస్థాపించబడి, అమలు చేయబడిన తర్వాత, 2 థ్రెడ్‌లు సృష్టించబడతాయి, ఇవి ఇతర వ్యవస్థలకు ప్రతిరూపణ ప్రక్రియకు బాధ్యత వహిస్తాయి.

విశ్లేషణలో, ఈ రంగంలోని నిపుణులు ఇది NSA ఉపయోగించే అదే కోడ్‌ను ఎలా ఉపయోగిస్తుందో గమనించారు. ఒకే తేడా ఏమిటంటే, డబుల్‌పల్సర్ దోపిడీని ఉపయోగించాల్సిన అవసరం లేదు, ఎందుకంటే వారి ఉద్దేశ్యం కేవలం LSASS (లోకల్ సెక్యూరిటీ అథారిటీ సబ్‌సిస్టమ్ సర్వీస్) ప్రక్రియలోకి ప్రవేశించడం.

LSASS అంటే ఏమిటో తెలియని వారికి , ఇది విండోస్ సెక్యూరిటీ ప్రోటోకాల్స్ సరిగ్గా పనిచేసేలా చేస్తుంది, కాబట్టి ఈ ప్రక్రియ ఎల్లప్పుడూ అమలు చేయాలి. మనకు తెలిసినట్లుగా, ఎటర్నల్ బ్లూ పేలోడ్ కోడ్ మార్చబడలేదు.

మీరు ఇప్పటికే ఉన్న విశ్లేషణలతో పోల్చినట్లయితే, ఆప్కోడ్ ఆప్కోడ్తో ఎలా సమానంగా ఉంటుందో మీరు చూడవచ్చు…

ఆప్కోడ్ అంటే ఏమిటి?

ఆప్కోడ్, లేదా ఆప్కోడ్, ఒక యంత్ర భాషా బోధన యొక్క ఒక భాగం, ఇది చేయవలసిన ఆపరేషన్ను నిర్దేశిస్తుంది.

మేము కొనసాగిస్తున్నాము…

ఈ ransomware చివరకు LSASS ప్రాసెస్‌లో పంపిన.dll లైబ్రరీలను ఇంజెక్ట్ చేయడానికి మరియు దాని "ప్లేగేమ్" ఫంక్షన్‌ను అమలు చేయడానికి అదే ఫంక్షన్ కాల్స్ చేస్తుంది, దానితో వారు మళ్లీ దాడి చేసిన యంత్రంలో సంక్రమణ ప్రక్రియను ప్రారంభిస్తారు.

కెర్నల్-కోడ్ దోపిడీని ఉపయోగించడం ద్వారా, మాల్వేర్ చేత చేయబడిన అన్ని ఆపరేషన్లకు SYSTEM లేదా సిస్టమ్ అధికారాలు ఉంటాయి.

కంప్యూటర్ యొక్క గుప్తీకరణను ప్రారంభించడానికి ముందు, ransomware వ్యవస్థలో రెండు మ్యూటెక్స్ ఉనికిని ధృవీకరిస్తుంది. మ్యూటెక్స్ అనేది పరస్పర మినహాయింపు అల్గోరిథం, ఇది ఒక ప్రోగ్రామ్‌లోని రెండు ప్రక్రియలను దాని క్లిష్టమైన విభాగాలను యాక్సెస్ చేయకుండా నిరోధించడానికి ఉపయోగపడుతుంది (ఇవి భాగస్వామ్య వనరును సవరించగల కోడ్ యొక్క భాగం).

ఈ రెండు మ్యూటెక్స్ ఉంటే, అది ఏ గుప్తీకరణను చేయదు:

'గ్లోబల్ \ MsWinZonesCacheCounterMutexA'

'గ్లోబల్ \ MsWinZonesCacheCounterMutexW'

Ransomware, దాని భాగానికి, ప్రతి గుప్తీకరించిన ఫైల్‌కు ప్రత్యేకమైన యాదృచ్ఛిక కీని ఉత్పత్తి చేస్తుంది. ఈ కీ 128 బిట్స్ మరియు AES ఎన్క్రిప్షన్ అల్గోరిథంను ఉపయోగిస్తుంది, ఈ కీ పబ్లిక్ RSA కీతో కస్టమ్ హెడర్‌లో గుప్తీకరించబడుతుంది, ఇది అన్ని గుప్తీకరించిన ఫైల్‌లకు ransomware జతచేస్తుంది.

ఫైళ్ళలో ఉపయోగించిన AES కీని గుప్తీకరించడానికి ఉపయోగించే పబ్లిక్ కీకి అనుగుణమైన RSA ప్రైవేట్ కీని కలిగి ఉంటే మాత్రమే ఫైళ్ళ యొక్క డిక్రిప్షన్ సాధ్యమవుతుంది.

AES రాండమ్ కీ విండోస్ ఫంక్షన్ "క్రిప్ట్‌జెన్‌రాండమ్" తో ప్రస్తుతానికి తెలిసిన ప్రమాదాలు లేదా బలహీనతలను కలిగి ఉండదు, కాబట్టి ప్రస్తుతం దాడి సమయంలో ఉపయోగించిన RSA ప్రైవేట్ కీ తెలియకుండా ఈ ఫైళ్ళను డీక్రిప్ట్ చేయడానికి ఏ సాధనాన్ని అభివృద్ధి చేయడం సాధ్యం కాదు.

Wanacrypt ransomware ఎలా పని చేస్తుంది?

ఈ ప్రక్రియలన్నింటినీ నిర్వహించడానికి, ransomware కంప్యూటర్‌లో అనేక అమలు థ్రెడ్‌లను సృష్టిస్తుంది మరియు పత్రాల గుప్తీకరణను నిర్వహించడానికి ఈ క్రింది ప్రక్రియను ప్రారంభిస్తుంది:

1. అసలు ఫైల్‌ను చదివి పొడిగింపును జోడించడం ద్వారా దాన్ని కాపీ చేయండి.wnryt యాదృచ్ఛిక AES 128 కీని సృష్టించండి AESA తో కాపీ చేసిన ఫైల్‌ను గుప్తీకరించండి కీతో గుప్తీకరించిన AES కీతో శీర్షికను జోడించండి

   నమూనాను కలిగి ఉన్న RSA ను ప్రచురిస్తుంది. అసలు ఫైల్‌ను ఈ గుప్తీకరించిన కాపీతో ఓవర్రైట్ చేస్తుంది. చివరికి అసలు ఫైల్‌ను పొడిగింపుతో పేరు మార్చారు.wnry ransomware గుప్తీకరించడం పూర్తయిన ప్రతి డైరెక్టరీకి, అదే రెండు ఫైళ్ళను ఉత్పత్తి చేస్తుంది:

   @ దయచేసి_ చదవండి_మీ @.txt

   @ WanaDecryptor @.exe

విండోస్ 10 లో విండోస్ డిఫెండర్ ఉపయోగించడానికి ప్రధాన కారణాలను చదవమని మేము సిఫార్సు చేస్తున్నాము.