Ιούνιος 6, 2017

Το WannaCry Ransomware έχει λάθη κωδικοποίησης που μπορούν να σας βοηθήσουν να επαναφέρετε αρχεία ακόμα και μετά τη μόλυνση

Κοινοποίηση0
Twitter0
Κοινοποίηση0
Κοινοποίηση0
Twitter0
Κοινοποίηση0

Τον Μάιο του 2017, WannaCry, ένα ransomware μπορεί να προκάλεσε όλεθρο σε όλο τον κόσμο όταν χτύπησε σχεδόν 300,000 υπολογιστές σε 150 χώρες μέσα σε μόλις 72 ώρες, αλλά αυτό δεν σημαίνει ότι ήταν ένα υψηλής ποιότητας κομμάτι ransomware. Ναι, οι ερευνητές ασφαλείας στο Kaspersky Labs πρόσφατα ανακάλυψαν ορισμένα σφάλματα προγραμματισμού στον κώδικα του τύπου worm ransomware WannaCrypt.

Αυτά τα σφάλματα προγραμματισμού στον κώδικα του ransomware WannaCrypt θα μπορούσαν να επιτρέψουν ορισμένα από τα θύματά του να επαναφέρουν τα κλειδωμένα αρχεία τους με δημόσια διαθέσιμα δωρεάν εργαλεία ανάκτησης ή ακόμα και με απλές εντολές, χωρίς να πληρώνουν κανένα κλειδί αποκρυπτογράφησης.

Ο Anton Ivanov, ανώτερος αναλυτής κακόβουλου λογισμικού στο Kaspersky Lab, μαζί με τους συναδέλφους Fedor Sinitsyn και Orkhan Mamedov, μετά από βαθιά έρευνα για το κακόβουλο λογισμικό, περιέγραψαν τρία κρίσιμα σφάλματα που έγιναν από τους προγραμματιστές του WannaCry που θα μπορούσαν να επιτρέψουν στους sysadmins να επαναφέρουν δυνητικά χαμένα αρχεία.

Σύμφωνα με τους ερευνητές, το ζήτημα έγκειται στον τρόπο με τον οποίο το κακόβουλο λογισμικό πραγματοποιεί την κρυπτογράφηση.

"Όταν το Wannacry κρυπτογραφεί τα αρχεία του θύματός του, διαβάζει από το αρχικό αρχείο, κρυπτογραφεί το περιεχόμενο και το αποθηκεύει στο αρχείο με επέκταση ".WNCRYT". Μετά την κρυπτογράφηση μετακινείται το ".WNCRYT" στο ".WNCRY" και διαγράφει το αρχικό αρχείο. Αυτή η λογική διαγραφής μπορεί να διαφέρει ανάλογα με τη θέση και τις ιδιότητες των αρχείων του θύματος."

Το WannaCry αντιγράφει τα αρχεία και δημιουργεί τα κρυπτογραφημένα αντίγραφά τους, επειδή δεν είναι δυνατό για ένα κακόβουλο λογισμικό να κρυπτογραφήσει ή να τροποποιήσει απευθείας αρχεία μόνο για ανάγνωση. Ενώ τα αρχικά αρχεία παραμένουν ανέγγιχτα, αλλά τους δίνεται ένα χαρακτηριστικό «κρυμμένο», η ανάκτηση των αρχικών δεδομένων απαιτεί απλώς από τα θύματα να επαναφέρουν τα κανονικά χαρακτηριστικά τους.

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

Ανάκτηση αρχείων από τη μονάδα δίσκου συστήματος (δηλαδή μονάδα δίσκου C)

Σύμφωνα με ερευνητές, τα αρχεία που είναι αποθηκευμένα στους «σημαντικούς φακέλους», όπως ο φάκελος Desktop ή Documents, δεν μπορούν να ανακτηθούν χωρίς το κλειδί αποκρυπτογράφησης, επειδή το WannaCry έχει σχεδιαστεί για να αντικαθιστά τα πρωτότυπα αρχεία με τυχαία δεδομένα πριν από την αφαίρεση.

Το WannaCry Ransomware έχει λάθη κωδικοποίησης που μπορούν να σας βοηθήσουν να επαναφέρετε αρχεία ακόμα και μετά από μόλυνση (1)
Μετονομάστηκαν αρχικά αρχεία που μπορούν να αποκατασταθούν από %TEMP%

Ωστόσο, οι ερευνητές παρατήρησαν ότι άλλα αρχεία που είναι αποθηκευμένα εκτός των «σημαντικών φακέλων» στη μονάδα δίσκου συστήματος μπορούσαν να αποκατασταθούν από τον προσωρινό φάκελο χρησιμοποιώντας ένα λογισμικό ανάκτησης δεδομένων.

"Εάν το αρχείο είναι αποθηκευμένο εκτός των "σημαντικών" φακέλων, τότε το αρχικό αρχείο θα μετακινηθεί στο %TEMP%\%d.WNCRYT (όπου το %d υποδηλώνει μια αριθμητική τιμή). Αυτά τα αρχεία περιέχουν τα αρχικά δεδομένα και δεν αντικαθίστανται, απλώς διαγράφονται από το δίσκο, πράγμα που σημαίνει ότι υπάρχει μεγάλη πιθανότητα να είναι δυνατή η επαναφορά τους χρησιμοποιώντας λογισμικό ανάκτησης δεδομένων.»

Ανάκτηση αρχείων από μονάδες εκτός συστήματος

Σύμφωνα με ερευνητές, για μονάδες εκτός συστήματος, το WannaCry Ransomware δημιουργεί έναν κρυφό φάκελο «$RECYCLE», ο οποίος είναι αόρατος στην Εξερεύνηση αρχείων των Windows, εάν έχει προεπιλεγμένη διαμόρφωση. Στη συνέχεια, το κακόβουλο λογισμικό μετακινεί τα αρχικά αρχεία σε αυτόν τον κατάλογο μετά την κρυπτογράφηση. Ωστόσο, μπορείτε να ανακτήσετε αυτά τα αρχεία απλώς αποκρύπτοντας το φάκελο '$RECYCLE'.

Το WannaCry Ransomware έχει λάθη κωδικοποίησης που μπορούν να σας βοηθήσουν να επαναφέρετε αρχεία ακόμα και μετά από μόλυνση (2)
Αρχικά αρχεία που μπορούν να αποκατασταθούν από μονάδα δίσκου εκτός συστήματος

Επίσης, λόγω «σφαλμάτων συγχρονισμού» στον κώδικα ransomware, σε πολλές περιπτώσεις τα αρχικά αρχεία παραμένουν στον ίδιο κατάλογο και δεν μετακινούνται στο $RECYCLE, επιτρέποντας στα θύματα να επαναφέρουν μη ασφαλώς διαγραμμένα αρχεία χρησιμοποιώντας διαθέσιμο λογισμικό ανάκτησης δεδομένων.

Σφάλματα προγραμματισμού WannaCry Ransomware:

Οι ερευνητές της Kaspersky Lab ανακάλυψαν ότι αυτό το ransomware έχει ένα σφάλμα στην επεξεργασία αρχείων μόνο για ανάγνωση. Εάν υπάρχουν τέτοια αρχεία στο μολυσμένο μηχάνημα, τότε το ransomware δεν θα τα κρυπτογραφήσει καθόλου. Θα δημιουργήσει μόνο ένα κρυπτογραφημένο αντίγραφο κάθε αρχικού αρχείου, ενώ τα ίδια τα πρωτότυπα αρχεία λαμβάνουν μόνο το "κρυμμένο" Χαρακτηριστικό. Όταν συμβεί αυτό, είναι απλό να τα βρείτε και να επαναφέρετε τα κανονικά χαρακτηριστικά τους.

Το WannaCry Ransomware έχει λάθη κωδικοποίησης που μπορούν να σας βοηθήσουν να επαναφέρετε αρχεία ακόμα και μετά από μόλυνση (3)
Τα πρωτότυπα αρχεία μόνο για ανάγνωση δεν είναι κρυπτογραφημένα και παραμένουν στο ίδιο μέρος
  • Οι προγραμματιστές ransomware έχουν κάνει πολλά λάθη και η ποιότητα του κώδικα είναι πολύ χαμηλή.
  • Εάν έχετε μολυνθεί με ransomware WannaCry, υπάρχει μεγάλη πιθανότητα να μπορείτε να επαναφέρετε πολλά αρχεία στον επηρεαζόμενο υπολογιστή.
  • Για να επαναφέρετε αρχεία, μπορείτε να χρησιμοποιήσετε τα δωρεάν βοηθητικά προγράμματα που είναι διαθέσιμα για την ανάκτηση αρχείων.

Αρχικό άρθρο πηγή

Νέα, ΣΥΣΤΗΜΑ ΑΣΦΑΛΕΙΑΣ, Tech, ΤΕΧΝΙΚΕΣ ΕΝΗΜΕΡΩΣΕΙΣ, τείνοντας

Εικόνα εικόνας

Σχετικά με τον Συγγραφέα 

Chaitanya

{"email": "Μη έγκυρη διεύθυνση email", "url": "Μη έγκυρη διεύθυνση ιστότοπου", "απαιτείται": "Λείπει το απαιτούμενο πεδίο"}