وانیکریپٹ رینسم ویئر کیسے کام کرتا ہے؟

واناکریپٹ میں کیڑے کی طرح کی صلاحیتیں ہیں اور اس کا مطلب یہ ہے کہ یہ نیٹ ورک میں پھیلانے کی کوشش کرتا ہے۔ ایسا کرنے کے ل it ، یہ Eternblue exploit (MS17-010) کو ان تمام مشینوں میں پھیلانے کے ارادے کے ساتھ استعمال کرتا ہے جن میں یہ خطرہ نہیں پڑتا ہے۔

فہرست فہرست

واناکریپٹ رینسم ویئر کیسے کام کرتا ہے؟

اس رینوم ویئر کی توجہ حاصل کرنے والی کوئی چیز یہ ہے کہ یہ نہ صرف متاثرہ مشین کے مقامی نیٹ ورک میں تلاش کرتی ہے ، بلکہ انٹرنیٹ پر عوامی IP پتے اسکین کرنے میں بھی آگے بڑھتی ہے۔

یہ سارے اقدامات اس خدمت کے ذریعہ انجام دیئے جاتے ہیں جو رامسن ویئر خود اس کے عمل کے بعد انسٹال کرتا ہے۔ ایک بار جب خدمت انسٹال ہو اور اس پر عملدرآمد ہو جائے تو ، 2 تھریڈز بنائے جاتے ہیں جو دوسرے سسٹمز پر نقل کی عملداری کے انچارج ہوتے ہیں۔

تجزیہ میں ، اس شعبے کے ماہرین نے مشاہدہ کیا ہے کہ وہ این ایس اے کے ذریعہ استعمال کردہ اسی کوڈ کو کس طرح استعمال کرتا ہے۔ فرق صرف اتنا ہے کہ انہیں ڈبل پلسر کے استحصال کو استعمال کرنے کی ضرورت نہیں ہے کیونکہ ان کا ارادہ صرف خود کو ایل ایس اے ایس ایس (لوکل سیکیورٹی اتھارٹی سب سسٹم سروس) کے عمل میں لگانا ہے۔

ان لوگوں کے لئے جو LSASS کیا نہیں جانتے ہیں ، یہ وہ عمل ہے جو ونڈوز سیکیورٹی پروٹوکول کو صحیح طریقے سے کام کرتا ہے ، لہذا اس عمل کو ہمیشہ عمل میں لایا جانا چاہئے۔ جیسا کہ ہم جان سکتے ہیں ، ایٹرن بللیو پے لوڈ کوڈ کو تبدیل نہیں کیا گیا ہے۔

اگر آپ موجودہ تجزیوں سے موازنہ کرتے ہیں تو آپ دیکھ سکتے ہیں کہ آپ کوڈ آپکوڈ سے کیسے ملتا ہے…

ایک اوپکوڈ کیا ہے؟

ایک اوپکوڈ ، یا آپ کوڈ ، مشین زبان کی ہدایت کا ایک ٹکڑا ہے جو انجام دینے کے لئے آپریشن کی وضاحت کرتا ہے۔

ہم جاری رکھیں…

اور یہ ransomware اسی فنکشن کالوں کو آخر کار LSASS عمل میں بھیجی گئی.dll لائبریریوں کو انجیکشن کرنے اور اس کے "PlayGame" فنکشن کو انجام دینے کے لئے کرتا ہے جس کے ساتھ وہ حملہ آور مشین پر دوبارہ انفیکشن کا عمل شروع کرتے ہیں۔

ایک دانا کوڈ استحصال کا استعمال کرتے ہوئے ، میلویئر کے ذریعہ انجام پائے جانے والے تمام کاموں میں سسٹم یا سسٹم کے مراعات ہوتے ہیں۔

کمپیوٹر کے خفیہ کاری کو شروع کرنے سے پہلے ، ransomware نظام میں دو mutexes کے موجودگی کی تصدیق کرتا ہے ۔ میٹیکس باہمی خارج ہونے والے الگورتھم ہے ، جو پروگرام میں اس کے اہم حصوں تک رسائی سے دو عملوں کو روکنے میں مدد فراہم کرتا ہے (جو کوڈ کا ایک ایسا ٹکڑا ہے جہاں مشترکہ وسائل میں ترمیم کی جاسکتی ہے)۔

اگر یہ دو میٹیکس موجود ہیں تو ، یہ کوئی خفیہ کاری انجام نہیں دیتا ہے۔

'عالمی \ MsWinZonesCacheCounter MutexA'

'عالمی \ MsWinZonesCacheCounter MutexW'

اس کے حص forے کے لئے ، ransomware ، ہر ایک خفیہ کردہ فائل کے لئے ایک بے مثال بے ترتیب کلید تیار کرتا ہے ۔ یہ کلید 128 بٹس کی ہے اور AES خفیہ کاری الگورتھم کا استعمال کرتی ہے ، اس کلید کو ایک عوامی آر ایس اے کلید کے ساتھ کسٹم ہیڈر میں خفیہ رکھا جاتا ہے جس سے رینسم ویئر نے تمام مرموز فائلوں میں اضافہ کیا۔

فائلوں کا ڈکرپشن اسی صورت میں ممکن ہے جب آپ کے پاس فائلوں میں استعمال ہونے والی AES کلید کو خفیہ کرنے کے لئے استعمال کی جانے والی عوامی کلید کے مطابق RSA نجی کلید ہو۔

اے ای ایس بے ترتیب کلید اس وقت ونڈوز فنکشن "کرپٹجن رینڈوم" کے ساتھ تیار کی گئی ہے جس میں اس میں کوئی معلوم خطرہ یا کمزوری موجود نہیں ہے ، لہذا فی الحال حملے کے دوران استعمال ہونے والی RSA پرائیویٹ کلید کو جانے بغیر ان فائلوں کو ڈیکرٹ کرنے کے لئے کوئی ٹول تیار کرنا ممکن نہیں ہے۔

واناکریپٹ رینسم ویئر کیسے کام کرتا ہے؟

اس سارے عمل کو انجام دینے کے ل the ، رینسم ویئر کمپیوٹر پر عملدرآمد کے کئی دھاگے تیار کرتا ہے اور دستاویزات کی خفیہ کاری کو انجام دینے کے لئے مندرجہ ذیل عمل کو شروع کرنا شروع کرتا ہے۔

1. اصل فائل کو پڑھیں اور ایکسٹینشن شامل کرکے کاپی کریں۔ Wnryt بے ترتیب AES 128 کلید بنائیں AESA کے ساتھ کاپی کی گئی فائل کو انکرپٹ کریں کلید کے ساتھ مرموز کردہ کلید AES کے ساتھ ہیڈر شامل کریں

   نمونہ لے جانے والے آر ایس اے کو شائع کرتا ہے ۔اس خفیہ شدہ کاپی کے ساتھ اصل فائل کو لکھتا ہے آخر کار اس توسیع کے ساتھ اصل فائل کا نام بدل دیتا ہے.ہر اس ڈائریکٹری کے لئے جس میں ریونوم ویئر نے خفیہ کاری ختم کردی ہے ، وہ ایک ہی دو فائلیں تیار کرتی ہے۔

   @ براہ کرم_پیچنا_میں @.txt

   @ WanaDecryptor @.exe

ہم ونڈوز 10 میں ونڈوز ڈیفنڈر استعمال کرنے کی اہم وجوہات کو پڑھنے کی سفارش کرتے ہیں ۔