У маі 2017 года WannaCry, вымагальнік магчыма, нанесла хаос ва ўсім свеце, калі за 300,000 гадзіны яна ўразіла амаль 150 72 ПК у XNUMX краінах, але гэта не значыць, што гэта была высакаякасная праграма-вымагальнік. Так, даследчыкі бяспекі ў Лабараторыі Касперскага нядаўна выявілі некаторыя памылкі праграмавання ў кодзе чарвяка-вымагальніка WannaCrypt.
Гэтыя памылкі праграмавання ў кодзе вымагальніка WannaCrypt могуць дазволіць некаторыя яго ахвяры аднавіць заблакаваныя файлы пры дапамозе агульнадаступных бясплатных інструментаў аднаўлення альбо нават простых каманд, не плацячы за любы ключ дэшыфравання.
Антон Іваноў, старэйшы аналітык шкоднасных праграм у "Лабараторыі Касперскага", разам з калегамі Фёдарам Сініцыным і Орханам Мамедавым, пасля глыбокага даследавання шкоднасных праграм, падрабязна апісалі тры крытычныя памылкі, дапушчаныя распрацоўшчыкамі WannaCry, якія могуць дазволіць сістэмным адміністратарам аднаўляць патэнцыйна страчаныя файлы.
На думку даследчыкаў, праблема заключаецца ў тым, як шкоднасная праграма ажыццяўляе шыфраванне.
"Калі Wannacry шыфруе файлы сваёй ахвяры, ён счытвае зыходны файл, шыфруе змест і захоўвае ў файл з пашырэннем" .WNCRYT ". Пасля шыфравання ён перамяшчае ".WNCRYT" у ".WNCRY" і выдаляе зыходны файл. Гэтая логіка выдалення можа мяняцца ў залежнасці ад месцазнаходжання і ўласцівасцей файлаў ахвяры ".
WannaCry капіруе файлы і стварае іх зашыфраваныя копіі, таму што шкоднаснае праграмнае забеспячэнне не мае магчымасці непасрэдна шыфраваць альбо змяняць файлы толькі для чытання. У той час як зыходныя файлы застаюцца некранутымі, але атрымліваюць "схаваны" атрыбут, вяртанне зыходных дадзеных проста патрабуе ад ахвяр аднаўлення сваіх звычайных атрыбутаў.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Аднаўленне файлаў з сістэмнага дыска (г.зн. дыска C)
На думку даследчыкаў, файлы, якія захоўваюцца ў "важных папках", такіх як Desktop або Documents, нельга аднавіць без ключа дэшыфравання, паколькі WannaCry распрацаваны для перазапісу зыходных файлаў выпадковымі дадзенымі перад выдаленнем.
Аднак даследчыкі заўважылі, што іншыя файлы, якія захоўваюцца па-за "важнымі тэчкамі" на сістэмным дыску, могуць быць адноўлены з часовай тэчкі пры дапамозе праграмнага забеспячэння для аднаўлення дадзеных.
"Калі файл захоўваецца па-за" важных "папак, зыходны файл будзе перамешчаны ў% TEMP% \% d.WNCRYT (дзе% d абазначае лікавае значэнне). Гэтыя файлы ўтрымліваюць зыходныя дадзеныя і не перазапісваюцца, яны проста выдаляюцца з дыска, а значыць, існуе вялікая верагоднасць іх аднаўлення з дапамогай праграмнага забеспячэння для аднаўлення дадзеных ".
Аднаўленне файлаў з несістэмных дыскаў
На думку даследчыкаў, для несістэмных дыскаў WannaCry Ransomware стварае схаваную папку "$ RECYCLE", якая не бачная ў правадыру файлаў Windows, калі яна мае канфігурацыю па змаўчанні. Пасля гэтага шкоднаснае праграма перамяшчае арыгінальныя файлы ў гэты каталог пасля шыфравання. Аднак вы можаце аднавіць гэтыя файлы, проста схаваўшы тэчку "$ RECYCLE".
Акрамя таго, з-за "памылак сінхранізацыі" ў кодзе вымагальніка, у многіх выпадках зыходныя файлы застаюцца ў тым самым каталогу і не перамяшчаюцца ў $ RECYCLE, што дазваляе ахвярам аднаўляць выдаленыя файлы з дапамогай даступнага праграмнага забеспячэння для аднаўлення дадзеных.
Памылкі праграмавання вымагальнікаў WannaCry:
Даследчыкі "Лабараторыі Касперскага" выявілі, што ў гэтай вымагальнай праграме ёсць памылка ў апрацоўцы файлаў толькі для чытання. Калі на заражанай машыне ёсць такія файлы, праграма-вымагальнік наогул не будзе іх шыфраваць. Гэта створыць толькі зашыфраваную копію кожнага зыходнага файла, а самі арыгінальныя файлы атрымліваюць толькі "схаваныАтрыбут. Калі гэта адбываецца, іх лёгка знайсці і аднавіць іх звычайныя атрыбуты.
- Распрацоўшчыкі вымагальнікаў зрабілі шмат памылак, і якасць кода вельмі нізкая.
- Калі вы заразіліся праграмай-вымагальнікам WannaCry, існуе вялікая верагоднасць, што вы зможаце аднавіць шмат файлаў на пацярпелым кампутары.
- Каб аднавіць файлы, вы можаце скарыстацца бясплатнымі ўтылітамі, даступнымі для аднаўлення файлаў.
Арыгінальны артыкул крыніца
