Wanacrypt ransomware কিভাবে কাজ করে?

ওয়ানাাক্রিপ্টে কৃমির মতো ক্ষমতা রয়েছে এবং এর অর্থ এটি নেটওয়ার্কে ছড়িয়ে দেওয়ার চেষ্টা করে। এটি করার জন্য, এটি সমস্ত মেশিনে ছড়িয়ে দেওয়ার উদ্দেশ্যে যা এই দুর্বলতা প্যাচ করে না তার জন্য ইটার্নাল ব্লু এক্সপ্লিট (এমএস 17-010) ব্যবহার করে ।

সূচি সূচি

Wanacrypt ransomware কিভাবে কাজ করে?

এই ransomware এর দৃষ্টি আকর্ষণ করে এমন কিছু হ'ল এটি প্রভাবিত মেশিনের স্থানীয় নেটওয়ার্কের মধ্যেই অনুসন্ধান করে না, ইন্টারনেটে পাবলিক আইপি অ্যাড্রেসগুলি স্ক্যান করতেও এগিয়ে যায়।

এই সমস্ত ক্রিয়া সেবার দ্বারা চালিত হয় যা রামসনওয়্যার নিজেই এটি কার্যকর করার পরে ইনস্টল করে। পরিষেবাটি ইনস্টল ও কার্যকর হয়ে গেলে 2 টি থ্রেড তৈরি করা হয় যা অন্য সিস্টেমে প্রতিরূপ প্রক্রিয়াটির দায়িত্বে থাকে।

বিশ্লেষণে, ক্ষেত্রের বিশেষজ্ঞরা পর্যবেক্ষণ করেছেন কীভাবে এটি এনএসএ দ্বারা ব্যবহৃত একই কোড ব্যবহার করে। পার্থক্যটি হ'ল তাদের ডাবলপুলসার শোষণ ব্যবহার করার দরকার নেই কারণ তাদের উদ্দেশ্যটি কেবল এলএসএএসএস (স্থানীয় সুরক্ষা কর্তৃপক্ষ সাবসিস্টেম সার্ভিস) প্রক্রিয়াতে নিজেকে ইনজেকশন করা।

যারা এলএসএএসএস জানেন না তাদের ক্ষেত্রে, এটি সেই প্রক্রিয়া যা উইন্ডোজ সুরক্ষা প্রোটোকলকে সঠিকভাবে কাজ করে তোলে, তাই এই প্রক্রিয়াটি সর্বদা কার্যকর করা উচিত। যেমনটি আমরা জানতে পারি, ইটার্নাল ব্লু পেইলড কোডটি পরিবর্তন করা হয়নি।

যদি আপনি বিদ্যমান বিশ্লেষণগুলির সাথে তুলনা করেন তবে দেখতে পাবেন যে কীভাবে অপকোড অপকোডের সাথে অভিন্ন…

অপকোড কী?

একটি অপকোড বা অপকোড হ'ল একটি মেশিন ল্যাঙ্গুয়েজ নির্দেশের একটি খণ্ড যা অপারেশনটি সম্পাদন করতে হবে তা নির্দিষ্ট করে।

আমরা চালিয়ে যাচ্ছি…

এবং এই ট্রান্সমওয়্যারটি শেষ অবধি এলএসএএসএস প্রক্রিয়ায় প্রেরিত.dll লাইব্রেরিগুলি ইনজেক্ট করার জন্য একই ফাংশন কল করে এবং তার "প্লেগেম" ফাংশনটি চালায় যা দিয়ে তারা আক্রমণ করা মেশিনে আবার সংক্রমণ প্রক্রিয়া শুরু করে।

কার্নেল-কোড শোষণ ব্যবহার করে, ম্যালওয়ার দ্বারা পরিচালিত সমস্ত ক্রিয়াকলাপের SYSTEM বা সিস্টেম সুবিধা রয়েছে।

কম্পিউটারের এনক্রিপশন শুরু করার আগে, মুক্তিপণ সিস্টেমটিতে দুটি মিটেক্সের অস্তিত্ব যাচাই করে । একটি মিউটেক্স হ'ল মিউচুয়াল এক্সক্লুশন অ্যালগরিদম, এটি একটি প্রোগ্রামের দুটি প্রক্রিয়াটির সমালোচনামূলক বিভাগগুলি অ্যাক্সেস করা থেকে বিরত রাখে (যা কোডের একটি অংশ যেখানে একটি ভাগ করা সংস্থান পরিবর্তন করা যেতে পারে)।

যদি এই দুটি মিটেক্স বিদ্যমান থাকে তবে এটি কোনও এনক্রিপশন সম্পাদন করে না:

'গ্লোবাল \ এমসউইনজোনস ক্যাশে কাউন্টার মিউটেক্সা'

'গ্লোবাল \ এমসউইনজোনস ক্যাচেউন্টার মুটেক্সডাব্লু'

Ransomware, এর অংশ হিসাবে, প্রতিটি এনক্রিপ্ট করা ফাইলের জন্য একটি অনন্য র্যান্ডম কী উত্পন্ন করে । এই কীটি 128 বিট এবং এটিএস এনক্রিপশন অ্যালগরিদম ব্যবহার করে, এই কীটি একটি কাস্টম শিরোনামে পাবলিক আরএসএ কী দিয়ে এনক্রিপ্ট করা থাকে যা র্যানসামওয়্যারটি সমস্ত এনক্রিপ্ট করা ফাইলগুলিতে যুক্ত করে।

ফাইলগুলির ডিক্রিপশন কেবল তখনই সম্ভব যখন আপনার কাছে ফাইলগুলিতে ব্যবহৃত এইএস কী এনক্রিপ্ট করার জন্য ব্যবহৃত পাবলিক কী সম্পর্কিত অনুরূপ আরএসএ প্রাইভেট কী রয়েছে।

এইএস র্যান্ডম কীটি উইন্ডোজ ফাংশন "ক্রিপ্টজেনর্যান্ডম" দিয়ে তৈরি করা হয় যার মুহূর্তে এটি কোনও জ্ঞাত দুর্বলতা বা দুর্বলতা ধারণ করে না, সুতরাং বর্তমানে আক্রমণের সময় ব্যবহৃত আরএসএ প্রাইভেট কী না জেনে এই ফাইলগুলি ডিক্রিপ্ট করার কোনও সরঞ্জাম বিকাশ করা সম্ভব নয়।

Wanacrypt ransomware কিভাবে কাজ করে?

এই সমস্ত প্রক্রিয়াটি চালিয়ে যাওয়ার জন্য, মুক্তিপণ কম্পিউটারে বেশ কয়েকটি এক্সিকিউশন থ্রেড তৈরি করে এবং ডকুমেন্টগুলির এনক্রিপশন সম্পাদনের জন্য নিম্নলিখিত প্রক্রিয়াটি শুরু করে:

1. আসল ফাইলটি পড়ুন এবং এক্সটেনশানটি যুক্ত করে এটি অনুলিপি করুন nআরিনেট একটি এলোমেলো এইএস 128 কী তৈরি করুন এএসএর সাথে অনুলিপি করা ফাইলটি এনক্রিপ্ট করুন কীটির সাথে এনক্রিপ্ট করা কীটির সাথে একটি শিরোনাম যুক্ত করুন

   নমুনা বহনকারী আরএসএ প্রকাশ করে this এই এনক্রিপ্ট করা অনুলিপি সহ মূল ফাইলটি ওভাররাইট করে শেষ পর্যন্ত এক্সটেনশনটির মাধ্যমে মূল ফাইলটির নতুন নামকরণ করা হয় wNryry প্রতিটি ডিরেক্টরি যা র্যানসামওয়্যার এনক্রিপ্ট করা শেষ করেছে, এটি একই দুটি ফাইল উত্পন্ন করে:

   @ দয়া করে_প্রেম_আমি @ টেক্সট

   @ WanaDecryptor @.exe

আমরা উইন্ডোজ 10-এ উইন্ডোজ ডিফেন্ডার ব্যবহারের মূল কারণগুলি পড়ার পরামর্শ দিই।