रैनसमवेयर काम कैसे करता है?

वानकैट्रिप में कृमि जैसी क्षमताएं हैं और इसका मतलब है कि यह नेटवर्क पर फैलने की कोशिश करता है। ऐसा करने के लिए, यह उन मशीनों को फैलाने के इरादे से इटरनलब्ले शोषण (MS17-010) का उपयोग करता है जिनमें यह भेद्यता पैच नहीं है।

सूचकांक को शामिल करता है

वानकैट्रिप रैनसमवेयर कैसे काम करता है?

इस रैंसमवेयर का ध्यान खींचने वाली बात यह है कि यह न केवल प्रभावित मशीन के स्थानीय नेटवर्क में खोज करता है, बल्कि इंटरनेट पर सार्वजनिक आईपी पते को स्कैन करने के लिए भी आगे बढ़ता है।

इन सभी कार्यों को उस सेवा द्वारा किया जाता है जिसे मेम्नेवेयरवेयर इसके निष्पादन के बाद स्थापित करता है। एक बार सेवा स्थापित और निष्पादित हो जाने के बाद, 2 थ्रेड बनाए जाते हैं जो अन्य प्रणालियों के लिए प्रतिकृति प्रक्रिया के प्रभारी होते हैं।

विश्लेषण में, क्षेत्र के विशेषज्ञों ने देखा कि यह एनएसए द्वारा उपयोग किए जाने वाले समान कोड का उपयोग कैसे करता है। अंतर केवल इतना है कि उन्हें DoublePulsar शोषण का उपयोग करने की कोई आवश्यकता नहीं है क्योंकि उनका इरादा बस खुद को LSASS (स्थानीय सुरक्षा प्राधिकरण सबसिस्टम सेवा) प्रक्रिया में इंजेक्ट करने का है।

जो लोग नहीं जानते हैं कि LSASS क्या है, यह प्रक्रिया है जो विंडोज सुरक्षा प्रोटोकॉल को सही ढंग से काम करती है, इसलिए इस प्रक्रिया को हमेशा निष्पादित किया जाना चाहिए। जैसा कि हम जान सकते हैं, EternalBlue पेलोड कोड में कोई बदलाव नहीं किया गया है।

यदि आप मौजूदा विश्लेषणों से तुलना करते हैं, तो आप देख सकते हैं कि कैसे opcode opcode के समान है…

एक ओपकोड क्या है?

एक ओपकोड, या ओपकोड, एक मशीन भाषा निर्देश का एक टुकड़ा है जो ऑपरेशन को निर्दिष्ट करता है।

हम जारी रखते हैं…

और यह रैंसमवेयर अंततः फ़ंक्शन कॉल करता है। एलएसएएस प्रक्रिया में भेजे गए.dll पुस्तकालयों को इंजेक्ट करने और अपने "PlayGame" फ़ंक्शन को निष्पादित करने के लिए जिसके साथ वे फिर से हमले की मशीन पर संक्रमण प्रक्रिया शुरू करते हैं।

एक कर्नेल-कोड शोषण का उपयोग करके, मैलवेयर द्वारा किए गए सभी कार्यों में सिस्टम या सिस्टम विशेषाधिकार हैं।

कंप्यूटर के एन्क्रिप्शन को शुरू करने से पहले, रैंसमवेयर सिस्टम में दो म्यूटेक्स के अस्तित्व की पुष्टि करता है । एक म्यूटेक्स एक आपसी अपवर्जन एल्गोरिथ्म है, यह एक प्रोग्राम में दो प्रक्रियाओं को इसके महत्वपूर्ण खंडों (जो एक साझा कोड को संशोधित किया जा सकता है, जहां कोड का एक टुकड़ा है) तक पहुंचने से रोकने का कार्य करता है।

यदि ये दो म्यूटेक्स मौजूद हैं, तो यह कोई एन्क्रिप्शन नहीं करता है:

'ग्लोबल \ MsWinZonesCacheCounterMutexA'

'ग्लोबल \ MsWinZonesCacheCounterMutexW'

रैंसमवेयर, अपने हिस्से के लिए, प्रत्येक एन्क्रिप्टेड फ़ाइल के लिए एक अद्वितीय यादृच्छिक कुंजी उत्पन्न करता है । यह कुंजी 128 बिट है और एईएस एन्क्रिप्शन एल्गोरिथ्म का उपयोग करता है, इस कुंजी को कस्टम आरएसए कुंजी के साथ कस्टम हेडर में एन्क्रिप्ट किया जाता है जिसे रैंसमवेयर सभी एन्क्रिप्टेड फ़ाइलों में जोड़ता है।

फ़ाइलों का डिक्रिप्शन केवल तभी संभव है, जब आपके पास फ़ाइलों में प्रयुक्त एईएस कुंजी को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली सार्वजनिक कुंजी के अनुरूप आरएसए निजी कुंजी हो।

एईएस यादृच्छिक कुंजी विंडोज फ़ंक्शन "CryptGenRandom" के साथ उत्पन्न होती है फिलहाल इसमें कोई ज्ञात कमजोरियां या कमजोरियां नहीं हैं, इसलिए वर्तमान में हमले के दौरान RSA निजी कुंजी को जाने बिना इन फ़ाइलों को डिक्रिप्ट करने के लिए किसी भी उपकरण को विकसित करना संभव नहीं है।

वानकैट्रिप रैनसमवेयर कैसे काम करता है?

इस सारी प्रक्रिया को अंजाम देने के लिए, रैंसमवेयर कंप्यूटर पर कई निष्पादन थ्रेड बनाता है और दस्तावेजों के एन्क्रिप्शन को पूरा करने के लिए निम्नलिखित प्रक्रिया को शुरू करता है:

1. मूल फ़ाइल पढ़ें और एक्सटेंशन को जोड़कर इसे कॉपी करें.wnryt एक यादृच्छिक AES 128 कुंजी बनाएं AESA के साथ कॉपी की गई फ़ाइल को एन्क्रिप्ट करें कुंजी के साथ एन्क्रिप्ट किए गए कुंजी AES के साथ एक हेडर जोड़ें

   RSA प्रकाशित करता है जो नमूना ले जाता है। इस एन्क्रिप्टेड प्रतिलिपि के साथ मूल फ़ाइल को ओवरराइट करता है। अंत में मूल फ़ाइल का एक्सटेंशन के साथ नाम बदल देता है। प्रत्येक निर्देशिका के लिए rnomware एन्क्रिप्टेड समाप्त हो गया है, यह एक ही दो फ़ाइलों को उत्पन्न करता है:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

हम विंडोज 10 में विंडोज डिफेंडर का उपयोग करने के मुख्य कारणों को पढ़ने की सलाह देते हैं।