Junio ​​6, 2017

WannaCry Ransomware Havas Kodajn Erarojn, Kiu Povas Helpi Vin Restarigi Dosierojn Eĉ Post Infekto

En la monato majo 2017, WannaCry, ransomware eble kaŭzis ocaoson tra la tuta mondo, kiam ĝi trafis preskaŭ 300,000 komputilojn en 150 landoj en nur 72 horoj, sed tio ne signifas, ke ĝi estis altkvalita ransomware. Jes, sekurecaj esploristoj ĉe Kaspersky Labs ĵus malkovris iujn programerarojn en la kodo de la vermo pri ransomware WannaCrypt.

Ĉi tiuj programaj eraroj en la kodo de la ransomware WannaCrypt povus permesi iujn el ĝiaj viktimoj restarigi siajn ŝlositajn dosierojn per publikaj haveblaj senpagaj iloj aŭ eĉ per simplaj komandoj, sen pagi iun ajn malĉifran ŝlosilon.

Anton Ivanov, altranga malware-analizisto ĉe Kaspersky Lab, kune kun kolegoj Fedor Sinitsyn kaj Orkhan Mamedov, profunde esplorinte la malware, detaligis tri kritikajn erarojn faritajn de programistoj de WannaCry, kiuj povus permesi al administrantoj restarigi potenciale perditajn dosierojn.

Laŭ la esploristoj, la afero estas en la maniero kiel la malware efektivigas la ĉifradon.

"Kiam Wannacry ĉifras la dosierojn de sia viktimo, ĝi legas el la originala dosiero, ĉifras la enhavon kaj konservas ĝin en la dosiero kun etendaĵo" .WNCRYT ". Post ĉifrado ĝi movas ".WNCRYT" en ".WNCRY" kaj forigas la originalan dosieron. Ĉi tiu foriga logiko povas varii laŭ la loko kaj ecoj de la dosieroj de la viktimo. "

WannaCry kopias la dosierojn kaj kreas iliajn ĉifritajn kopiojn, ĉar ne eblas por malica programaro rekte ĉifri aŭ modifi nurlegeblajn dosierojn. Dum la originalaj dosieroj restas netuŝitaj sed ricevas 'kaŝitan' atributon, rehavi la originalajn datumojn simple postulas viktimojn restarigi siajn normalajn atributojn.

Kiel Ripari WannaCrypt Ransomware Backdoor sur Vindozo 7, XP, 8

Rekuperi Dosierojn de la Sistema Disko (te C-disko)

Laŭ esploristoj, dosieroj konservitaj en la "gravaj dosierujoj", kiel labortablo aŭ Dokumentoj, ne povas esti rekuperitaj sen la malĉifra ŝlosilo ĉar WannaCry estis desegnita por anstataŭigi originalajn dosierojn kun hazardaj datumoj antaŭ forigo.

WannaCry Ransomware Havas Kodajn Erarojn, Kiu Povas Helpi Vin Restarigi Dosierojn Eĉ Post Infekto (1)
Renomitaj originalaj dosieroj reestigeblaj de% TEMP%

Tamen esploristoj rimarkis, ke aliaj dosieroj stokitaj ekster "gravaj dosierujoj" sur la sistemo-disko povus esti restarigitaj de la portempa dosierujo per datuma reakira programaro.

"Se la dosiero estas konservita ekster" gravaj "dosierujoj, tiam la originala dosiero estos movita al% TEMP% \% d.WNCRYT (kie% d indikas nombran valoron). Ĉi tiuj dosieroj enhavas la originalajn datumojn kaj ne estas anstataŭigitaj, ili simple estas forigitaj de la disko, kio signifas, ke estas tre eble, ke eblos restarigi ilin per datuma reakira programaro. "

Rekuperi Dosierojn de la Nesistemaj Diskoj

Laŭ esploristoj, por nesistemaj diskiloj, la WannaCry-Ransomware kreas kaŝitan dosierujon '$ RECYCLE', kiu estas nevidebla en Vindozo-Dosier-Esplorilo, se ĝi havas defaŭltan agordon. La malware tiam movas originalajn dosierojn en ĉi tiun dosierujon post ĉifrado. Tamen vi povas rekuperi tiujn dosierojn nur malkaŝante la dosierujon '$ RECYCLE'.

WannaCry Ransomware Havas Kodajn Erarojn, Kiu Povas Helpi Vin Restarigi Dosierojn Eĉ Post Infekto (2)
Originalaj dosieroj, kiuj povas esti restarigitaj de ne-sistema disko

Ankaŭ pro "sinkronigaj eraroj" en la ransomware-kodo, en multaj kazoj la originalaj dosieroj restas en la sama dosierujo kaj ne estas movitaj en $ RECYCLE, ebligante al viktimoj restarigi nesekure forigitajn dosierojn per disponebla datuma reakira programaro.

WannaCry-Ransomware-Programaj Eraroj:

Esploristoj de Kaspersky Lab malkovris, ke ĉi tiu ransomware havas cimon en sia nurlegebla dosier-prilaborado. Se estas tiaj dosieroj sur la infektita maŝino, tiam la ransomware tute ne ĉifros ilin. Ĝi nur kreos ĉifritan kopion de ĉiu originala dosiero, dum la originalaj dosieroj mem nur ricevos la "kaŝita”Atributo. Kiam ĉi tio okazas, estas simple trovi ilin kaj restarigi iliajn normalajn atributojn.

WannaCry Ransomware Havas Kodajn Erarojn, Kiu Povas Helpi Vin Restarigi Dosierojn Eĉ Post Infekto (3)
riginaj nurlegeblaj dosieroj ne estas ĉifritaj kaj restas en la sama loko
  • La programistoj pri ransomware faris multajn erarojn kaj la kodo-kvalito estas tre malalta.
  • Se vi estis infektita per WannaCry-ransomware, ekzistas bona eblo, ke vi povos restarigi multajn dosierojn en la tuŝita komputilo.
  • Por restarigi dosierojn, vi povas uzi la senpagajn utilecojn disponeblajn por rekupero de dosieroj.

Originala artikolo fonto

Pri la aŭtoro 

Chaitanya


{"email": "Retpoŝta adreso nevalida", "url": "Reteja adreso nevalida", "required": "Bezonata kampo mankas"}