През месец май 2017 г. WannaCry, ransomware може да е причинил хаос по целия свят, когато е ударил близо 300,000 150 компютъра в 72 държави в рамките на само XNUMX часа, но това не означава, че е бил висококачествен рансъмуер. Да, изследователи по сигурността в Лаборатории Касперски наскоро откриха някои грешки при програмирането в кода на червея на рансъмуера WannaCrypt.
Тези програмни грешки в кода на рансъмуера WannaCrypt могат да позволят някои от жертвите му да възстановят заключените си файлове с публично достъпни безплатни инструменти за възстановяване или дори с прости команди, без да плащат за ключ за дешифриране.
Антон Иванов, старши анализатор на злонамерен софтуер в Лабораторията на Касперски, заедно с колегите си Федор Синицин и Орхан Мамедов, след задълбочено проучване на злонамерения софтуер, подробно описаха три критични грешки, допуснати от разработчиците на WannaCry, които биха могли да позволят на sysadmins да възстановят потенциално загубени файлове.
Според изследователите проблемът се крие в начина, по който зловредният софтуер извършва криптирането.
„Когато Wannacry шифрова файловете на жертвата си, той чете от оригиналния файл, криптира съдържанието и го записва във файла с разширение„ .WNCRYT “. След криптиране той премества „.WNCRYT“ в „.WNCRY“ и изтрива оригиналния файл. Тази логика на изтриване може да варира в зависимост от местоположението и свойствата на файловете на жертвата. "
WannaCry копира файловете и създава техните криптирани копия, тъй като не е възможно злонамерен софтуер директно да криптира или модифицира файлове само за четене. Докато оригиналните файлове остават недокоснати, но им се дава „скрит“ атрибут, връщането на оригиналните данни просто изисква жертвите да възстановят нормалните си атрибути.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Възстановяване на файлове от системното устройство (т.е. C устройство)
Според изследователите файловете, съхранявани във „важните папки“, като Desktop или Documents папка, не могат да бъдат възстановени без ключа за дешифриране, тъй като WannaCry е проектиран да презаписва оригинални файлове с произволни данни преди премахването.
Изследователите обаче забелязаха, че други файлове, съхранявани извън „важни папки“ на системното устройство, могат да бъдат възстановени от временната папка с помощта на софтуер за възстановяване на данни.
„Ако файлът се съхранява извън„ важни “папки, тогава оригиналният файл ще бъде преместен в% TEMP% \% d.WNCRYT (където% d означава числова стойност). Тези файлове съдържат оригиналните данни и не се презаписват, те просто се изтриват от диска, което означава, че има голям шанс да бъде възможно да ги възстановите с помощта на софтуер за възстановяване на данни. “
Възстановяване на файлове от несистемни устройства
Според изследователите, за несистемни устройства, WannaCry Ransomware създава скрита папка „$ RECYCLE“, която е невидима в Windows File Explorer, ако има конфигурация по подразбиране. След това зловредният софтуер премества оригинални файлове в тази директория след криптиране. Можете обаче да възстановите тези файлове, просто като скриете папката „$ RECYCLE“.
Също така, поради „грешки при синхронизирането“ в кода на рансъмуера, в много случаи оригиналните файлове остават в същата директория и не се преместват в $ RECYCLE, което дава възможност на жертвите да възстановят несигурно изтрити файлове, използвайки наличния софтуер за възстановяване на данни.
Грешки при програмиране на WannaCry Ransomware:
Изследователите на Лабораторията на Касперски откриха, че този рансъмуер има грешка в обработката на файлове само за четене. Ако има такива файлове на заразената машина, рансъмуерът изобщо няма да ги криптира. Той ще създаде само криптирано копие на всеки оригинален файл, докато самите оригинални файлове получават само „скрит" атрибут. Когато това се случи, е лесно да ги намерите и възстановите нормалните им атрибути.
- Разработчиците на рансъмуер са допуснали много грешки и качеството на кода е много ниско.
- Ако сте били заразени с WannaCry рансъмуер, има голяма вероятност да можете да възстановите голяма част от файловете на засегнатия компютър.
- За да възстановите файлове, можете да използвате безплатните помощни програми за възстановяване на файлове.
Оригинална статия източник
