U mjesecu maju 2017, WannaCry, ransomware je možda izazvao pustoš po cijelom svijetu kada je u samo 300,000 sata pogodio gotovo 150 računara u 72 zemalja, ali to ne znači da je riječ o visokokvalitetnom komadu ransomwarea. Da, istraživači sigurnosti na Kaspersky Labs nedavno su otkrili neke programske greške u kodu crva WannaCrypt ransomware.
Ove programske greške u kodu WannaCrypt ransomwarea mogu dopustiti neke od njegovih žrtava za vraćanje zaključanih datoteka pomoću javno dostupnih besplatnih alata za oporavak ili čak jednostavnim naredbama, bez plaćanja bilo kakvog ključa za dešifriranje.
Anton Ivanov, viši analitičar zlonamjernog softvera u laboratoriju Kaspersky, zajedno s kolegama Fedorom Sinitsynom i Orkhanom Mamedovom, nakon detaljnog istraživanja zlonamjernog softvera, detaljno su opisali tri kritične greške programera WannaCry koje bi mogle omogućiti sysadminima da obnove potencijalno izgubljene datoteke.
Prema istraživačima, problem leži u načinu na koji zlonamjerni softver vrši šifriranje.
„Kada Wannacry šifrira datoteke svoje žrtve, čita iz izvorne datoteke, šifrira sadržaj i sprema ga u datoteku s nastavkom„ .WNCRYT “. Nakon šifriranja premješta ".WNCRYT" u ".WNCRY" i briše izvornu datoteku. Ova logika brisanja može se razlikovati ovisno o mjestu i svojstvima žrtvinih datoteka. "
WannaCry kopira datoteke i stvara njihove šifrirane kopije, jer zlonamjeran softver ne može direktno šifrirati ili modificirati datoteke samo za čitanje. Iako izvorne datoteke ostaju netaknute, ali im se daje 'skriveni' atribut, vraćanje originalnih podataka jednostavno zahtijeva od žrtava da vrate svoje uobičajene atribute.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Oporavak datoteka sa sistemskog pogona (tj. C pogona)
Prema istraživačima, datoteke pohranjene u 'važnim mapama', poput mape Desktop ili Documents, ne mogu se oporaviti bez ključa za dešifriranje, jer je WannaCry dizajniran da prepisuje originalne datoteke slučajnim podacima prije uklanjanja.
Međutim, istraživači su primijetili da se druge datoteke pohranjene izvan 'važnih mapa' na sistemskom pogonu mogu vratiti iz privremene mape pomoću softvera za oporavak podataka.
“Ako je datoteka pohranjena izvan 'važnih' mapa, tada će izvorna datoteka biti premještena u% TEMP% \% d.WNCRYT (gdje% d označava brojčanu vrijednost). Te datoteke sadrže izvorne podatke i ne prepisuju se, već se jednostavno brišu s diska, što znači da postoji velika šansa da će ih biti moguće vratiti pomoću softvera za oporavak podataka. "
Oporavak datoteka s nesistemskih pogona
Prema istraživačima, za nesistemske diskove, WannaCry Ransomware stvara skrivenu mapu '$ RECYCLE', koja je nevidljiva u Windows File Explorer-u ako ima zadanu konfiguraciju. Zlonamjerni softver zatim premješta originalne datoteke u ovaj direktorij nakon šifriranja. Međutim, te datoteke možete oporaviti samo otkrivanjem mape '$ RECYCLE'.
Takođe, zbog „grešaka u sinhronizaciji“ u ransomware kodu, u mnogim slučajevima originalne datoteke ostaju u istom direktoriju i ne premještaju se u $ RECYCLE, što žrtvama omogućava nesigurno obnavljanje izbrisanih datoteka pomoću dostupnog softvera za oporavak podataka.
Pogreške programiranja WannaCry Ransomware:
Istraživači Kaspersky Laba otkrili su da ovaj ransomware ima grešku u obradi datoteka samo za čitanje. Ako na zaraženom računaru postoje takve datoteke, tada ih ransomware neće uopće šifrirati. Stvorit će samo šifriranu kopiju svake originalne datoteke, dok same originalne datoteke dobivaju samo "sakriven”Atribut. Kada se to dogodi, jednostavno ih je pronaći i vratiti im normalne atribute.
- Programeri ransomwarea napravili su puno grešaka, a kvalitet koda je vrlo nizak.
- Ako ste zaraženi WannaCry ransomwareom, postoji velika vjerojatnost da ćete moći obnoviti puno datoteka na pogođenom računaru.
- Da biste vratili datoteke, možete koristiti besplatne uslužne programe dostupne za oporavak datoteka.
Originalni članak izvor
