In Mei 2017, WannaCry, 'n losprysware kan die hele wêreld verwoesting veroorsaak het toe dit binne net 300,000 uur byna 150 72 rekenaars in XNUMX lande getref het, maar dit beteken nie dat dit 'n hoë gehalte losprysware was nie. Ja, sekuriteitsnavorsers by Kaspersky Labs het onlangs 'n paar programmeerfoute in die kode van die WannaCrypt-losgeldwurm ontdek.
Hierdie programmeringsfoute in die kode van die WannaCrypt-losprysware kan sommige van sy slagoffers toelaat om hul afgeslote lêers te herstel met gratis openbare herstelprogramme of selfs met eenvoudige opdragte, sonder om enige dekripteringsleutel te betaal.
Anton Ivanov, senior malware-ontleder van Kaspersky Lab, saam met kollegas Fedor Sinitsyn en Orkhan Mamedov, het diepgaande ondersoek ingestel na die malware, en het drie kritieke foute gemaak deur WannaCry-ontwikkelaars wat sysadmins in staat stel om potensieel verlore lêers te herstel.
Volgens die navorsers lê die kwessie in die manier waarop die malware die kodering uitvoer.
"Wanneer Wannacry se lêers van die slagoffer enkripteer, lees dit uit die oorspronklike lêer, versleutelt die inhoud en stoor dit in die lêer met die uitbreiding" .WNCRYT ". Na die kodering skuif dit ".WNCRYT" in ".WNCRY" en verwyder die oorspronklike lêer. Hierdie verwyderingslogika kan wissel na gelang van die ligging en eienskappe van die slagoffer se lêers. ”
WannaCry kopieer die lêers en skep hul geënkripteerde kopieë omdat dit nie vir 'n kwaadwillige sagteware moontlik is om leesalleen-lêers direk te enkripteer of te wysig nie. Terwyl die oorspronklike lêers onaangeraak bly, maar 'n 'verborge' eienskap kry, is dit nodig dat slagoffers hul normale eienskappe moet herstel om die oorspronklike gegewens terug te kry.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Herstel van lêers vanaf die stelselskyf (dws C-skyf)
Volgens navorsers kan lêers wat in die 'belangrike vouers' gestoor word, soos die Desktop of Documents-lêergids, nie herwin word sonder die dekripteringsleutel nie, want WannaCry is ontwerp om oorspronklike lêers met ewekansige data te vervang voordat dit verwyder word.
Navorsers het egter opgemerk dat ander lêers wat buite 'belangrike vouers' op die stelselskyf gestoor is, uit die tydelike vouer met behulp van 'n sagteware vir die herstel van data herstel kon word.
“As die lêer buite 'belangrike' vouers gestoor word, sal die oorspronklike lêer na% TEMP% \% d.WNCRYT geskuif word (waar% d 'n numeriese waarde aandui). Hierdie lêers bevat die oorspronklike data en word nie oorskryf nie, maar word eenvoudig van die skyf verwyder, wat beteken dat die kans groot is dat dit herstel kan word met behulp van dataherwinningsagteware. ”
Herstel van lêers vanaf nie-stelselaandrywers
Volgens navorsers skep die WannaCry Ransomware vir nie-stelselaandrywers 'n verborge '$ RECYCLE'-lêergids, wat onsigbaar is in Windows File Explorer as dit 'n standaardkonfigurasie het. Die malware skuif dan oorspronklike lêers na die enkripsie in hierdie gids. U kan die lêers egter herstel deur net die '$ RECYCLE'-lêergids oop te maak.
As gevolg van 'sinchronisasiefoute' in die losprys-kode, bly die oorspronklike lêers in baie gevalle in dieselfde gids en word dit nie in $ RECYCLE geskuif nie, wat dit vir slagoffers moontlik maak om onveilig verwyderde lêers met behulp van die sagteware vir die herstel van data te herstel.
WannaCry Ransomware-programmeerfoute:
Navorsers van Kaspersky Lab het ontdek dat hierdie losgeldware 'n fout het in die leesalleen-lêerverwerking. As daar sulke lêers op die besmette rekenaar is, sal die losprys dit glad nie enkripteer nie. Dit sal slegs 'n geënkripteerde kopie van elke oorspronklike lêer skep, terwyl die oorspronklike lêers slegs die "verborge”-Attribuut. As dit gebeur, is dit eenvoudig om dit te vind en hul normale eienskappe te herstel.
- Die ransomware-ontwikkelaars het baie foute begaan en die kodekwaliteit is baie laag.
- As u besmet is met WannaCry-ransomware, is daar 'n goeie moontlikheid dat u baie van die lêers op die betrokke rekenaar kan herstel.
- Om lêers te herstel, kan u die gratis hulpprogramme gebruik om lêers te herstel.
Oorspronklike artikel bron
