Com funciona el ransomware wanacrypt?

Wanacrypt té unes capacitats semblants als cucs i això vol dir que intenta propagar-se per la xarxa. Per a això fa ús de l'exploit de Eternalblue (MS17-010) amb intenció de propagar cap a totes les màquines que no tinguin apedaçada aquesta vulnerabilitat.

Índex de continguts

Com funciona el ransomware Wanacrypt?

Una cosa que crida l'atenció d'aquest ransomware és que no només busca dins de la xarxa local de la màquina afectada, sinó que a més procedeix a escanejar adreces IP públiques a internet.

Totes aquestes accions són realitzades pel servei que el mateix ramsonware instal·la després de la seva execució. Un cop el servei és instal·lat i executat es creen 2 fils els quals s'encarreguen de el procés de replicació cap a altres sistemes.

En l'anàlisi s'han realitzat experts en la matèria han pogut observar com utilitza exactament el mateix codi utilitzat per la NSA. L'única diferència és que no tenen necessitat d'utilitzar l'exploit de DoublePulsar ja que la seva intenció és simplement injectar en el procés LSASS (Local Security Authority Subsystem Service).

Per als que no sapigueu que és LSASS és el procés que fa que els protocols de seguretat de Windows funcionin correctament per això aquest procés s'han de realitzar sempre. Com podem saber el codi de l'payload de EternalBlue no ha estat alterat.

Si es compara amb anàlisis ja existents es pot veure com és idèntic opcode a opcode…

Què és un opcode?

Un opcode o codi d'operació, és un fragment d'una instrucció de llenguatge de màquina que especifica l'operació a ser realitzada.

Seguim…

I aquest ransomware realitza les mateixes crides a les funcions per finalment injectar les llibreries.dll enviada en el procés LSASS i executar la seva funció "playGame" amb la que inicien de nou el procés d'infecció a la màquina atacada.

A el fer-se ús d'un exploit amb codi de nucli totes les operacions realitzades pel malware disposen dels privilegis de SYSTEM o de sistema.

Abans de començar el xifrat de l'equip, el ransomware verifica l'existència de dos mutex en el sistema. Un mutex és un algoritmes d'exclusió mútua, això serveix perquè dos processos d'un programa no accedeixin seves seccions critiques (que són un fragment de codi on es pot modificar un recurs compartit).

En cas d'existir aquests dos mutex no realitza xifrat algun:

'Global \ MsWinZonesCacheCounterMutexA'

'Global \ MsWinZonesCacheCounterMutexW'

El ransomware per la seva banda genera una clau única aleatòria per cada fitxer xifrat. Aquesta clau és 128bits i empra l'algoritme de xifrat AES, aquesta clau es guarda xifrada amb una clau RSA pública a una capçalera personalitzada que el ransomware afegeix en tots els fitxers xifrats.

El desxifrat dels arxius només és possible si es disposa de la clau privada RSA corresponent a la clau pública emprada per xifrar la clau AES usada en els fitxers.

La clau aleatòria AES és generada amb la funció de Windows "CryptGenRandom" de moment no conté cap vulnerabilitat o debilitat conegudes, de manera que actualment no és possible desenvolupar cap eina per desxifrar aquests fitxers sense conèixer la clau privada RSA utilitzada durant l'atac.

Com funciona el ransomware Wanacrypt?

Per poder dur a terme tot aquest procés el ransomware crea diversos fils d'execució a l'ordinador i comença a realitzar el següent procés per dur a terme el xifrat dels documents:

1. Llegeix l'arxiu original i el copia afegint-hi la extexión.wnrytCrea la clau AES 128 aleatoriaCifra el fitxer copiat amb AESAñade una capçalera amb la clau AES xifrada amb la clau

   publica RSA que porta la muestra.Sobrescribe el fitxer original amb aquesta còpia cifradaFinalmente reanomena el fitxer original amb l'extensió.wnryPor cada directori que el ransomware ha acabat de xifrar, genera els mateix dos fitxers:

   @ Please_Read_Me @.txt

   @ WanaDecryptor @.exe

Et recomanem la lectura les principals raons per utilitzar Windows Defensar en Windows 10.