Како функционише ванацрипт рансомваре?
Преглед садржаја:
Ванацрипт има црволике могућности и то значи да се покушава ширити мрежом. Да би то учинио, користи Етерналблуе екплоит (МС17-010) са намером да се прошири на све машине на којима није угрожена ова рањивост.
Садржај индекс
Како ради Ванацрипт рансомваре?
Нешто што привлачи пажњу овог рансомвареа је то да не само да претражује у локалној мрежи погођене машине, већ наставља са скенирањем јавних ИП адреса на Интернету.
Све ове радње врши сервис који сам рамсонваре инсталира након извршења. Једном када се сервис инсталира и изврши, креирају се 2 нити које су задужене за процес репликације у друге системе.
У анализи су стручњаци на терену приметили како се користи потпуно исти код који користи НСА. Једина разлика је у томе што они немају потребу да користе ДоублеПулсар експлоатацију јер је њихова намера једноставно да се убаце у процес ЛСАСС (Локални систем безбедносних служби).
За оне који не знају шта је ЛСАСС, поступак заштите Виндовс функционише исправно, тако да овај поступак увек треба извршити. Као што знамо, ЕтерналБлуе корисни код није измењен.
Ако упоредите са постојећим анализама, можете видети како је опцоде идентичан опцоде-у…
Шта је опцоде?
Опцоде или опцоде је фрагмент инструкције машинског језика која одређује операцију коју треба извести.
Настављамо…
А овај рансомваре прави исте функције позива да коначно убризга.длл библиотеке послате у ЛСАСС процесу и изврши своју "ПлаиГаме" функцију којом поново покрећу процес инфекције на нападнутој машини.
Коришћењем искориштавања кернел-кода, све операције које извршава малваре имају СИСТЕМ или системске повластице.
Пре покретања шифрирања рачунара, рансомваре програм проверава постојање два мутекта у систему. Мутек је алгоритам узајамне искључености који служи за спречавање два процеса у програму да приступе његовим критичним деловима (који су део кода где се дељени ресурс може изменити).
Ако ова два мутека постоје, он не врши никакво шифровање:
'Глобал \ МсВинЗонесЦацхеЦоунтерМутекА'
'Глобал \ МсВинЗонесЦацхеЦоунтерМутекВ'
Са своје стране рансомваре софтвер ствара јединствени случајни кључ за сваку шифровану датотеку. Овај кључ је 128 бита и користи алгоритам шифрирања АЕС-а, овај се кључ чува шифриран јавним РСА кључем у прилагођеном заглављу који рансомваре додаје свим шифрованим датотекама.
Дешифрирање датотека могуће је само ако имате РСА приватни кључ који одговара јавном кључу који се користи за шифрирање АЕС кључа који се користи у датотекама.
АЕС случајни кључ се генерише помоћу Виндовс функције „ЦриптГенРандом“ тренутно не садржи познате рањивости или слабости, тако да тренутно није могуће развити ниједан алат за дешифровање ових датотека без познавања РСА приватног кључа који се користи током напада.
Како ради Ванацрипт рансомваре?
Да би извео сав овај процес, рансомваре ствара неколико извршних нити на рачунару и започиње следећи поступак да би извршио шифровање докумената:
- Прочитајте оригиналну датотеку и копирајте је додавањем екстензије.внрит Креирајте случајни АЕС 128 тастер Шифрирајте датотеку копирану са АЕСА Додајте заглавље са кључем АЕС шифровани кључем
објављује РСА који носи узорак. Преписује оригиналну датотеку са овом шифрованом копијом Коначно преименује оригиналну датотеку са екстензијом.внри За сваки директоријум који је рансомваре завршио са шифрирањем генерише исте две датотеке:
@ Молимо_Реад_Ме @.ткт
@ ВанаДецриптор @.еке
Препоручујемо да прочитате главне разлоге за коришћење програма Виндовс Дефендер у систему Виндовс 10.
Шта је то и како функционише гпу или графичка картица?
Објашњавамо шта је то и како функционише ГПУ или графичка картица која коегзистира у вашем рачунару. Историја, модели и њихове функције у вашем систему.
Шта је фидгет спиннер и како функционише
Шта је Фидгет Спиннер и како функционише. Сазнајте више о модерној играчки у Европи. И контроверзе које то ствара. Фидгет Спиннер
Шта је рансомваре и како функционише
Шта је и како функционише рансомваре. Сазнајте све о рансомваре-у и како он функционише како бисте га могли на време открити. Прочитајте све овде.
