Sa bulan sa Mayo 2017, Ang WannaCry, usa ka ransomware mahimo nga hinungdan sa kadaotan sa tibuuk kalibutan sa pag-igo sa hapit 300,000 nga mga PC sa 150 nga mga nasud sa sulud lang sa 72 oras, apan wala kini gipasabut nga kini usa ka taas nga kalidad nga piraso sa ransomware. Oo, ang mga tigdukiduki sa seguridad sa Kaspersky Labs Bag-ohay lang nadiskobrehan ang pipila nga mga sayup sa pagprograma sa code sa WannaCrypt ransomware worm.
Kini nga mga sayup sa programa sa code sa WannaCrypt ransomware mahimong tugotan ang pipila nga mga biktima niini aron mapahiuli ang ilang mga naka-lock nga file nga magamit sa publiko nga libre nga mga gamit sa pagbawi o bisan sa yano nga mga mando, nga wala pagbayad alang sa bisan unsang decryption key.
Si Anton Ivanov, senior malware analista sa Kaspersky Lab, kauban ang mga kauban nga sila si Fedor Sinitsyn ug Orkhan Mamedov, pagkahuman sa lawom nga pagsiksik sa malware, adunay detalyado nga tulo nga mga kritikal nga sayup nga gihimo sa mga taghimo sa WannaCry nga mahimong tugotan ang sysadmins nga ibalik ang posibleng nawala nga mga file.
Sumala sa mga tigdukiduki, ang isyu nagpuyo sa paagi nga gidala sa malware ang encryption.
"Kung gi-encrypt sa Wannacry ang mga file sa biktima niini, mabasa kini gikan sa orihinal nga file, i-encrypt ang sulud ug i-save kini sa file nga adunay extension nga" .WNCRYT ". Pagkahuman sa pag-encrypt gibalhin niini ang ".WNCRYT" ngadto sa ".WNCRY" ug gitangtang ang orihinal nga file. Ang lohika sa pagtangtang mahimo nga magkalainlain depende sa lokasyon ug kabtangan sa mga file sa biktima. ”
Gikopya sa WannaCry ang mga file ug gihimo ang ilang naka-encrypt nga kopya tungod kay dili posible alang sa usa ka makadaot nga software nga direkta nga mag-encrypt o mag-usab sa mga read-only file. Samtang ang mga orihinal nga file nagpabilin nga wala matandog apan gihatagan usa ka 'tinago' nga hiyas, ang pagkuha sa orihinal nga datos nagkinahanglan lang og mga biktima aron maibalik ang ilang naandang mga hiyas.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Pag-recover sa mga File gikan sa System Drive (ie C drive)
Pinauyon sa mga tigdukiduki, ang mga file nga gitipig sa 'important folder', sama sa Desktop o Documents folder, dili makuha kung wala ang decryption key tungod kay ang WannaCry gilaraw aron mapuno ang orihinal nga mga file nga adunay sulud nga datos sa wala pa tangtang.
Bisan pa, namatikdan sa mga tigdukiduki nga ang ubang mga file nga gitipig sa gawas sa 'important folder' sa drive sa system mahimong mapahiuli gikan sa temporaryo nga folder gamit ang usa ka software recovery data.
"Kung ang file gitipig sa gawas sa 'important' folder, nan ang orihinal nga file ibalhin sa% TEMP% \% d.WNCRYT (diin ang% d nagpasabut sa usa ka numero nga kantidad). Ang kini nga mga file adunay sulud nga orihinal nga datos ug wala mapuno, dali ra kini gitangtang gikan sa disk, nga nagpasabut nga adunay usa ka taas nga kahigayunan nga posible nga ibalik kini gamit ang data recovery software. ”
Pag-recover sa mga File gikan sa Mga Drive nga Dili Sistema
Pinauyon sa mga tigdukiduki, alang sa mga dili pag-drive sa sistema, ang WannaCry Ransomware nagmugna usa ka tinago nga '$ RECYCLE' folder, nga dili makita sa Windows File Explorer kung kini adunay usa ka default nga pag-configure. Pagkahuman gibalhin sa malware ang orihinal nga mga file sa kini nga direktoryo pagkahuman sa pag-encrypt. Bisan pa, mahimo nimo mabawi ang kana nga mga file pinaagi ra sa pag-unhid sa folder nga '$ RecYCLE'.
Ingon usab, tungod sa "mga sayup sa pag-synchronize" sa ransomware code, sa daghang mga kaso ang mga orihinal nga file magpabilin sa parehas nga direktoryo ug dili ibalhin sa $ RecYCLE, nga posible nga ibalik sa mga biktima ang dili siguradong natanggal nga mga file gamit ang magamit nga software sa pagbawi sa datos.
Mga Kasaypanan sa WannaCry Ransomware Programming:
Nadiskobrehan sa mga tigdukiduki sa Kaspersky Lab nga ang ransomware nga kini adunay usa ka bug sa read-only file nga pagproseso niini. Kung adunay ingon nga mga file sa nahawa nga makina, kung ingon niana dili gyud i-encrypt kini sa ransomware. Maghimo ra kini usa ka naka-encrypt nga kopya sa matag orihinal nga file, samtang ang orihinal nga mga file mismo makuha ang "tinagoan”Hiyas. Kung nahinabo kini, yano ra ang pagpangita kanila ug ibalik ang ilang naandang mga hiyas.
- Ang mga taghimo sa ransomware nakahimog daghang mga sayup ug ang kalidad sa code mao ang kaayo.
- Kung natakdan ka sa WannaCry ransomware, adunay daghang posibilidad nga maibalik nimo ang daghang mga file sa apektado nga kompyuter.
- Aron mapahiuli ang mga file, mahimo nimong magamit ang libre nga mga magamit nga magamit alang sa pagpaayo sa file.
Orihinal nga artikulo tinubdan
