Ym mis Mai 2017, WannaCry, ransomware efallai ei fod wedi achosi hafoc ledled y byd pan darodd bron i 300,000 o gyfrifiaduron personol mewn 150 o wledydd o fewn dim ond 72 awr, ond nid yw hynny'n golygu ei fod yn ddarn o ransomware o ansawdd uchel. Ie, ymchwilwyr diogelwch yn Labiau Kaspersky yn ddiweddar wedi darganfod rhai gwallau rhaglennu yng nghod y abwydyn ransomware WannaCrypt.
Gallai'r gwallau rhaglennu hyn yng nghod ransomware WannaCrypt ganiatáu i rai o'i ddioddefwyr i adfer eu ffeiliau sydd wedi'u cloi gydag offer adfer am ddim sydd ar gael i'r cyhoedd neu hyd yn oed gyda gorchmynion syml, heb dalu am unrhyw allwedd dadgryptio.
Mae Anton Ivanov, uwch ddadansoddwr meddalwedd faleisus yn Kaspersky Lab, ynghyd â chydweithwyr Fedor Sinitsyn ac Orkhan Mamedov, ar ôl ymchwilio’n ddwfn i’r meddalwedd maleisus, wedi manylu ar dri chamgymeriad beirniadol a wnaed gan ddatblygwyr WannaCry a allai ganiatáu i sysadmins adfer ffeiliau a allai fod ar goll.
Yn ôl yr ymchwilwyr, mae'r mater yn aros yn y ffordd y mae'r meddalwedd maleisus yn cyflawni'r amgryptio.
“Pan mae Wannacry yn amgryptio ffeiliau ei ddioddefwr, mae'n darllen o'r ffeil wreiddiol, yn amgryptio'r cynnwys ac yn ei arbed i'r ffeil gydag estyniad“ .WNCRYT ”. Ar ôl amgryptio mae'n symud “.WNCRYT” i “.WNCRY” ac yn dileu'r ffeil wreiddiol. Gall y rhesymeg dileu hon amrywio yn dibynnu ar leoliad a phriodweddau ffeiliau'r dioddefwr. "
Mae WannaCry yn copïo'r ffeiliau ac yn creu eu copïau wedi'u hamgryptio oherwydd nad yw'n bosibl i feddalwedd faleisus amgryptio neu addasu ffeiliau darllen yn unig yn uniongyrchol. Er bod y ffeiliau gwreiddiol yn parhau i fod heb eu cyffwrdd ond yn cael priodoledd 'cudd', mae cael y data gwreiddiol yn ôl yn ei gwneud yn ofynnol i ddioddefwyr adfer eu priodoleddau arferol.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Adfer Ffeiliau o'r Gyriant System (hy gyriant C)
Yn ôl ymchwilwyr, ni ellir adfer ffeiliau sydd wedi'u storio yn y 'ffolderau pwysig', fel y ffolder Pen-desg neu Ddogfennau, heb yr allwedd dadgryptio oherwydd bod WannaCry wedi'i gynllunio i drosysgrifennu ffeiliau gwreiddiol gyda data ar hap cyn eu tynnu.
Fodd bynnag, sylwodd ymchwilwyr y gallai ffeiliau eraill a storiwyd y tu allan i 'ffolderau pwysig' ar yriant system gael eu hadfer o'r ffolder dros dro gan ddefnyddio meddalwedd adfer data.
“Os yw'r ffeil yn cael ei storio y tu allan i ffolderau 'pwysig', yna bydd y ffeil wreiddiol yn cael ei symud i% TEMP% \% d.WNCRYT (lle mae% d yn dynodi gwerth rhifol). Mae'r ffeiliau hyn yn cynnwys y data gwreiddiol ac nid ydynt wedi'u trosysgrifo, cânt eu dileu o'r ddisg yn syml, sy'n golygu bod siawns uchel y bydd yn bosibl eu hadfer gan ddefnyddio meddalwedd adfer data. "
Adennill Ffeiliau o'r Gyriannau Di-System
Yn ôl ymchwilwyr, ar gyfer gyriannau heblaw system, mae'r WannaCry Ransomware yn creu ffolder '$ RECYCLE' cudd, sy'n anweledig yn Windows File Explorer os oes ganddo gyfluniad diofyn. Yna mae'r meddalwedd maleisus yn symud ffeiliau gwreiddiol i'r cyfeiriadur hwn ar ôl eu hamgryptio. Fodd bynnag, gallwch adfer y ffeiliau hynny dim ond trwy ddadorchuddio'r ffolder '$ RECYCLE'.
Hefyd, oherwydd “gwallau cydamseru” yn y cod ransomware, mewn sawl achos mae'r ffeiliau gwreiddiol yn aros yn yr un cyfeiriadur ac nid ydynt yn cael eu symud i mewn i $ RECYCLE, gan ei gwneud hi'n bosibl i ddioddefwyr adfer ffeiliau sydd wedi'u dileu yn ansicr gan ddefnyddio'r feddalwedd adfer data sydd ar gael.
Gwallau Rhaglennu Rannaomware WannaCry:
Mae ymchwilwyr Kaspersky Lab wedi darganfod bod gan y ransomware hwn nam yn ei brosesu ffeiliau darllen yn unig. Os oes ffeiliau o'r fath ar y peiriant heintiedig, yna ni fydd y ransomware yn eu hamgryptio o gwbl. Dim ond copi wedi'i amgryptio o bob ffeil wreiddiol y bydd yn ei greu, tra bo'r ffeiliau gwreiddiol eu hunain yn cael y “cuddPriodoledd. Pan fydd hyn yn digwydd, mae'n syml dod o hyd iddynt ac adfer eu priodoleddau arferol.
- Mae'r datblygwyr ransomware wedi gwneud llawer o gamgymeriadau ac mae ansawdd y cod yn isel iawn.
- Os cawsoch eich heintio â ransomware WannaCry, mae posibilrwydd da y byddwch yn gallu adfer llawer o'r ffeiliau ar y cyfrifiadur yr effeithiwyd arno.
- I adfer ffeiliau, gallwch ddefnyddio'r cyfleustodau am ddim sydd ar gael i adfer ffeiliau.
Erthygl wreiddiol ffynhonnell
