2017-ci ilin may ayında, WannaCry, bir fidyə proqramı yalnız 300,000 saat içərisində 150 ölkədə təxminən 72 PC vurduqda bütün dünyada dağıntılara səbəb ola bilər, ancaq bu, yüksək keyfiyyətli bir fidyə proqramı olduğu anlamına gəlmir. Bəli, təhlükəsizlik tədqiqatçıları Kaspersky Laboratoriyaları bu yaxınlarda WannaCrypt ransomware qurdu kodunda bəzi proqram səhvləri aşkarladı.
WannaCrypt fidyə proqramının kodundakı bu proqramlaşdırma səhvləri bəzi qurbanlarına icazə verə bilər kilidli sənədlərini hər hansı bir şifrə çözmə anahtarı ödəmədən açıq açıq bərpa alətləri ilə və ya sadə əmrlərlə bərpa etmək.
Kaspersky Laboratoriyasının baş malware analitiki Anton İvanov, həmkarları Fedor Sinitsyn və Orxan Mamedov ilə birlikdə zərərli proqramı dərindən araşdırdıqdan sonra, WannaCry inkişaf etdiricilərinin, sysadmin-lərin itmiş ola biləcək sənədlərini bərpa etməsinə imkan verə biləcək üç kritik səhvini ətraflı izah etdilər.
Tədqiqatçıların fikrincə, məsələ zərərli proqram təminatının şifrələməni həyata keçirməsindədir.
“Wannacry qurbanının sənədlərini şifrələdikdə orijinal sənəddən oxuyur, məzmunu şifrələyir və“ .WNCRYT ”uzantısı ilə faylda saxlayır. Şifrələmədən sonra “.WNCRYT” -i “.WNCRY” vəziyyətinə gətirir və orijinal faylı silir. Bu silmə məntiqi qurbanın sənədlərinin yerindən və xüsusiyyətlərindən asılı olaraq dəyişə bilər. ”
WannaCry sənədləri kopyalayır və şifrələnmiş nüsxələrini yaradır, çünki zərərli bir proqramın birbaşa oxumaq üçün sənədləri birbaşa şifrələməsi və ya dəyişdirməsi mümkün deyil. Orijinal sənədlər toxunulmaz qalsa da, 'gizli' bir atribut verilsə də, orijinal məlumatları geri qaytarmaq qurbanların normal xüsusiyyətlərini bərpa etmələrini tələb edir.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Sistem sürücüsündəki faylları bərpa etmək (yəni C sürücüsü)
Tədqiqatçılara görə, Masaüstü və ya Sənədlər qovluğu kimi 'vacib qovluqlarda' saxlanılan fayllar şifrə çözmə açarı olmadan bərpa edilə bilməz, çünki WannaCry silinmədən əvvəl təsadüfi məlumatlarla orijinal sənədlərin üzərinə yazmaq üçün hazırlanmışdır.
Bununla birlikdə, tədqiqatçılar, sistem sürücüsündə 'vacib qovluqlar' xaricində saxlanılan digər sənədlərin bir məlumat bərpa proqramı istifadə edərək müvəqqəti qovluqdan bərpa edilə biləcəyini fərq etdilər.
“Əgər fayl 'vacib' qovluqların xaricində saxlanılırsa, orijinal fayl% TEMP% \% d.WNCRYT-yə köçürüləcək (burada% d ədədi dəyəri ifadə edir). Bu sənədlər orijinal məlumatları ehtiva edir və onların üzərinə yazılmır, sadəcə diskdən silinir, bu da məlumat bərpa proqramından istifadə edərək onları bərpa etmək şansının yüksək olduğunu göstərir. ”
Sistemdən kənar sürücülərdən faylları bərpa etmək
Tədqiqatçılara görə, sistemdən kənar sürücülər üçün WannaCry Ransomware, standart bir konfiqurasiyaya sahib olduğu təqdirdə Windows File Explorer-də görünməyən gizli '$ RECYCLE' qovluğu yaradır. Daha sonra zərərli proqram şifrələmədən sonra orijinal sənədləri bu qovluğa köçürür. Bununla birlikdə, bu sənədləri yalnız '$ RECYCLE' qovluğunu gizlətməklə bərpa edə bilərsiniz.
Ayrıca, fidyə proqramı kodundakı "sinxronizasiya səhvləri" səbəbindən bir çox hallarda orijinal sənədlər eyni qovluqda qalır və $ RECYCLE-ə köçürülməyərək qurbanların mövcud məlumat bərpa proqramından istifadə edərək etibarsız şəkildə silinmiş sənədləri bərpa etmələrini mümkün edir.
WannaCry Ransomware Proqramlaşdırma Səhvləri:
Kaspersky Lab tədqiqatçıları bu fidyə proqramının yalnız oxunaqlı fayl işlənməsində bir səhv olduğunu aşkar etdilər. Yoluxmuş maşında bu cür fayllar varsa, fidyə proqramı onları heç şifrələməyəcəkdir. Yalnız hər bir orijinal sənədin şifrələnmiş surətini yaradacaq, orijinal sənədlərin özləri isə yalnız “gizli”Atributu. Bu baş verdikdə onları tapmaq və normal xüsusiyyətlərini bərpa etmək asandır.
- Ransomware inkişaf etdiriciləri çox səhv etdilər və kod keyfiyyəti çox aşağıdır.
- WannaCry ransomware-yə yoluxmuş olsanız, təsirlənmiş kompüterdəki bir çox faylı bərpa edə biləcəyiniz yaxşı bir ehtimal var.
- Faylları bərpa etmək üçün fayl bərpa üçün mövcud olan pulsuz yardım proqramlarından istifadə edə bilərsiniz.
Orijinal məqalə mənbə
