l'Internet

Comment fonctionne le ransomware wanacrypt?

2025
Comment fonctionne le ransomware wanacrypt?

Table des matières:

Anonim

Wanacrypt a des capacités de type ver et cela signifie qu'il essaie de se propager sur le réseau. Pour ce faire, il utilise l'exploit Eternalblue (MS17-010) avec l'intention de se propager à toutes les machines qui n'ont pas cette vulnérabilité corrigée.

Index du contenu

Comment fonctionne le ransomware Wanacrypt?

Ce qui attire l'attention de ce ransomware, c'est qu'il recherche non seulement dans le réseau local de la machine affectée, mais analyse également les adresses IP publiques sur Internet.

Toutes ces actions sont effectuées par le service que ramsonware installe lui-même après son exécution. Une fois le service installé et exécuté, 2 threads sont créés qui sont en charge du processus de réplication vers d'autres systèmes.

Dans l'analyse, les experts dans le domaine ont observé comment il utilise exactement le même code utilisé par la NSA. La seule différence est qu'ils n'ont pas besoin d'utiliser l'exploit DoublePulsar car leur intention est simplement de s'injecter dans le processus LSASS (Local Security Authority Subsystem Service).

Pour ceux qui ne savent pas ce qu'est LSASS, c'est le processus qui fait fonctionner correctement les protocoles de sécurité Windows, donc ce processus doit toujours être exécuté. Comme nous pouvons le savoir, le code de charge utile EternalBlue n'a pas été modifié.

Si vous comparez avec les analyses existantes, vous pouvez voir comment l'opcode est identique à l'opcode…

Qu'est-ce qu'un opcode?

Un opcode, ou opcode, est un fragment d'une instruction en langage machine qui spécifie l'opération à effectuer.

Nous continuons…

Et ce ransomware effectue les mêmes appels de fonction pour enfin injecter les bibliothèques.dll envoyées dans le processus LSASS et exécuter sa fonction "PlayGame" avec laquelle ils recommencent le processus d'infection sur la machine attaquée.

En utilisant un exploit de code noyau, toutes les opérations effectuées par des logiciels malveillants ont des privilèges SYSTEM ou système.

Avant de commencer le chiffrement de l'ordinateur, le ransomware vérifie l'existence de deux mutex dans le système. Un mutex est un algorithme d'exclusion mutuelle, cela sert à empêcher deux processus d'un programme d'accéder à ses sections critiques (qui sont un morceau de code où une ressource partagée peut être modifiée).

Si ces deux mutex existent, il n'effectue aucun chiffrement:

«Global \ MsWinZonesCacheCounterMutexA»

«Global \ MsWinZonesCacheCounterMutexW»

Le ransomware, quant à lui, génère une clé aléatoire unique pour chaque fichier chiffré. Cette clé est de 128 bits et utilise l'algorithme de cryptage AES, cette clé est conservée cryptée avec une clé RSA publique dans un en-tête personnalisé que le ransomware ajoute à tous les fichiers cryptés.

Le déchiffrement des fichiers n'est possible que si vous disposez de la clé privée RSA correspondant à la clé publique utilisée pour chiffrer la clé AES utilisée dans les fichiers.

La clé aléatoire AES est générée avec la fonction Windows "CryptGenRandom" pour le moment, elle ne contient aucune vulnérabilité ou faiblesse connue, il n'est donc actuellement pas possible de développer un outil pour décrypter ces fichiers sans connaître la clé privée RSA utilisée pendant l'attaque.

Comment fonctionne le ransomware Wanacrypt?

Afin d'effectuer tout ce processus, le ransomware crée plusieurs threads d'exécution sur l'ordinateur et commence à exécuter le processus suivant pour effectuer le cryptage des documents:

  1. Lisez le fichier d'origine et copiez-le en ajoutant l'extension.wnryt Créez une clé AES 128 aléatoire Chiffrez le fichier copié avec AESA Ajoutez un en-tête avec la clé AES chiffré avec la clé

    publie le RSA qui porte l'échantillon Remplace le fichier d'origine par cette copie chiffrée Enfin renomme le fichier d'origine avec l'extension.wnry Pour chaque répertoire que le ransomware a fini de chiffrer, il génère les deux mêmes fichiers:

    @ Please_Read_Me @.txt

    @ WanaDecryptor @.exe

Nous vous recommandons de lire les principales raisons d'utiliser Windows Defender dans Windows 10.

Comment fonctionne un drone

Comment fonctionne un drone

Les drones sont de petits véhicules volants contrôlés à distance par un opérateur. Pour que la magie se produise car ils utilisent des contrôles plus simples,

Comment fonctionne tor

Comment fonctionne tor

Comment Tor fonctionne et à quoi il sert. Nous analysons le fonctionnement du réseau Tor, comment télécharger le navigateur Tor et comment l'utiliser pour rester anonyme sur Internet.

Qu'est-ce qu'un ransomware et comment il fonctionne

Qu'est-ce qu'un ransomware et comment il fonctionne

Qu'est-ce qu'un ransomware et comment fonctionne-t-il? Découvrez tout sur les ransomwares et comment ils fonctionnent pour pouvoir les détecter à temps. Lisez tout ici.

l'Internet

Le choix des éditeurs

HTC se désintéresse-t-il de Windows Phone ?

HTC se désintéresse-t-il de Windows Phone ?

2025
Samsung Ativ Q

Samsung Ativ Q

2025
Images de ce que pourrait être le nouveau Nokia Lumia EOS

Images de ce que pourrait être le nouveau Nokia Lumia EOS

2025
Appareils Build 2013 : en attente des fabricants

Appareils Build 2013 : en attente des fabricants

2025
Back to top button