V měsíci květnu 2017 WannaCry, ransomware mohlo způsobit zmatek po celém světě, když zasáhlo téměř 300,000 150 počítačů ve 72 zemích během pouhých XNUMX hodin, ale to neznamená, že se jednalo o vysoce kvalitní ransomware. Ano, výzkumní pracovníci v oblasti bezpečnosti Kaspersky Labs nedávno objevili některé programové chyby v kódu červu WansCrypt ransomware.
Tyto programové chyby v kódu ransomwaru WannaCrypt mohly některým jeho obětem umožnit obnovit své uzamčené soubory pomocí veřejně dostupných bezplatných nástrojů pro obnovení nebo dokonce pomocí jednoduchých příkazů, aniž by platili za dešifrovací klíč.
Anton Ivanov, hlavní analytik malwaru ve společnosti Kaspersky Lab, spolu s kolegy Fedorem Sinitsynem a Orkhanem Mamedovem po důkladném prozkoumání malwaru podrobně popsali tři kritické chyby vývojářů WannaCry, které by mohly umožnit správcům obnovit potenciálně ztracené soubory.
Podle vědců problém spočívá ve způsobu, jakým malware provádí šifrování.
"Když Wannacry zašifruje soubory své oběti, načte z původního souboru, zašifruje obsah a uloží jej do souboru s příponou" .WNCRYT ". Po šifrování přesune „.WNCRYT“ do „.WNCRY“ a odstraní původní soubor. Tato logika mazání se může lišit v závislosti na umístění a vlastnostech souborů oběti. “
WannaCry zkopíruje soubory a vytvoří jejich zašifrované kopie, protože není možné, aby škodlivý software přímo šifroval nebo upravoval soubory jen pro čtení. Zatímco původní soubory zůstávají nedotčené, ale dostávají atribut „skrytý“, získání původních dat jednoduše vyžaduje, aby oběti obnovily své normální atributy.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Obnova souborů ze systémové jednotky (tj. Jednotky C)
Podle vědců nelze soubory uložené ve „důležitých složkách“, jako je Desktop nebo Documents, obnovit bez dešifrovacího klíče, protože WannaCry byl navržen tak, aby před odstraněním přepsal původní soubory náhodnými daty.
Vědci si však všimli, že další soubory uložené mimo „důležité složky“ na systémové jednotce lze obnovit z dočasné složky pomocí softwaru pro obnovu dat.
„Pokud je soubor uložen mimo„ důležité “složky, bude původní soubor přesunut do% TEMP% \% d.WNCRYT (kde% d označuje číselnou hodnotu). Tyto soubory obsahují původní data a nejsou přepsány, jednoduše jsou odstraněny z disku, což znamená, že existuje vysoká šance, že je bude možné obnovit pomocí softwaru pro obnovu dat. “
Obnova souborů z nesystémových jednotek
Podle vědců vytvoří pro nesystémové disky WannaCry Ransomware skrytou složku „$ RECYCLE“, která je v Průzkumníku souborů Windows neviditelná, pokud má výchozí konfiguraci. Malware poté po šifrování přesune původní soubory do tohoto adresáře. Tyto soubory však můžete obnovit pouhým skrytím složky '$ RECYCLE'.
Kvůli „synchronizačním chybám“ v kódu ransomwaru také původní soubory v mnoha případech zůstávají ve stejném adresáři a nejsou přesunuty do $ RECYCLE, což umožňuje obětem obnovit nezabezpečeně smazané soubory pomocí dostupného softwaru pro obnovu dat.
Chyby programování WannaCry Ransomware:
Vědci společnosti Kaspersky Lab zjistili, že tento ransomware má chybu ve zpracování souborů jen pro čtení. Pokud takové soubory na infikovaném počítači existují, ransomware je vůbec nezašifruje. Vytvoří pouze zašifrovanou kopii každého původního souboru, zatímco původní soubory samy získají pouze „skrytý" atribut. Když k tomu dojde, je snadné je najít a obnovit jejich normální atributy.
- Vývojáři ransomwaru udělali spoustu chyb a kvalita kódu je velmi nízká.
- Pokud jste byli nakaženi ransomwarem WannaCry, existuje dobrá možnost, že budete moci obnovit mnoho souborů v postiženém počítači.
- Chcete-li obnovit soubory, můžete použít bezplatné nástroje dostupné pro obnovu souborů.
Původní článek zdroj
