در ماه مه 2017 ، WannaCry ، یک باج افزار ممکن است در تمام دنیا دنیا باعث خرابی شود وقتی که فقط در مدت 300,000 ساعت به 150 رایانه شخصی در 72 کشور رسید ، اما این بدان معنی نیست که این یک باج افزار با کیفیت بالا بوده است. بله ، محققان امنیتی در آزمایشگاه های کسپرسکی اخیراً برخی از خطاهای برنامه نویسی را در کد کرم باج افزار WannaCrypt کشف کرده اند.
این خطاهای برنامه نویسی در کد باج افزار WannaCrypt می تواند به برخی از قربانیان آن اجازه دهد برای بازگرداندن پرونده های قفل شده آنها با ابزار بازیابی رایگان در دسترس عموم یا حتی با دستورات ساده ، بدون پرداخت هیچ گونه کلید رمزگشایی
آنتون ایوانف ، تحلیلگر ارشد بدافزار در لابراتوار کسپرسکی ، به همراه همکارانش فدور سینیتسین و اورخان ممدوف ، پس از تحقیق عمیق در مورد بدافزار ، سه مورد از خطاهای اساسی ساخته شده توسط توسعه دهندگان WannaCry را شرح داده اند که می تواند به sysadmins اجازه بازگرداندن پرونده های احتمالی از دست رفته را بدهد.
به گفته محققان ، این مسئله در نحوه رمزگذاری بدافزار وجود دارد.
"وقتی Wannacry پرونده های قربانی خود را رمزگذاری می کند ، از پرونده اصلی می خواند ، محتوا را رمزگذاری می کند و آن را در پرونده با پسوند" .WNCRYT "ذخیره می کند. پس از رمزگذاری ، ".WNCRYT" را به ".WNCRY" منتقل می کند و پرونده اصلی را پاک می کند. این منطق حذف ممکن است بسته به مکان و خصوصیات پرونده های قربانی متفاوت باشد. "
WannaCry پرونده ها را کپی می کند و نسخه های رمزگذاری شده آنها را ایجاد می کند زیرا برای یک نرم افزار مخرب امکان رمزگذاری یا تغییر مستقیم پرونده های فقط خواندنی وجود ندارد. در حالی که پرونده های اصلی دست نخورده باقی می مانند اما ویژگی "پنهان" به آنها داده می شود ، پس گرفتن داده های اصلی به سادگی به قربانیان احتیاج دارد تا ویژگی های عادی خود را بازیابی کنند.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
بازیابی پرونده ها از سیستم درایو (یعنی درایو C)
به گفته محققان ، پرونده های ذخیره شده در "پوشه های مهم" مانند پوشه دسک تاپ یا اسناد ، بدون کلید رمزگشایی قابل بازیابی نیستند زیرا WannaCry برای بازنویسی پرونده های اصلی با داده های تصادفی قبل از حذف طراحی شده است.
با این حال ، محققان متوجه شدند که سایر پرونده های ذخیره شده در خارج از "پوشه های مهم" در درایو سیستم می توانند با استفاده از یک نرم افزار بازیابی اطلاعات از پوشه موقت بازیابی شوند.
"اگر پرونده خارج از پوشه های" مهم "ذخیره شود ، پرونده اصلی به٪ TEMP٪ \٪ d.WNCRYT منتقل می شود (جایی که٪ d یک مقدار عددی را نشان می دهد). این پرونده ها حاوی داده های اصلی هستند و رونویسی نمی شوند ، آنها به سادگی از دیسک پاک می شوند ، به این معنی که امکان بازیابی آنها با استفاده از نرم افزار بازیابی اطلاعات بسیار زیاد است. "
بازیابی پرونده ها از درایوهای غیر سیستم
به گفته محققان ، برای درایوهای غیر سیستمی ، WannaCry Ransomware یک پوشه پنهان '$ RECYCLE' ایجاد می کند که در صورت عدم پیکربندی پیش فرض ، در Windows File Explorer قابل مشاهده نیست. سپس بدافزار پس از رمزگذاری پرونده های اصلی را به داخل این فهرست منتقل می کند. با این حال ، می توانید آن فایل ها را فقط با مخفی نگه داشتن پوشه '$ RECYCLE' بازیابی کنید.
همچنین ، به دلیل "خطاهای همگام سازی" در کد باج افزار ، در بسیاری از موارد ، پرونده های اصلی در همان دایرکتوری باقی می مانند و به $ RECYCLE منتقل نمی شوند ، این امکان را برای قربانیان فراهم می کند تا با استفاده از نرم افزار موجود بازیابی اطلاعات ، پرونده های پاک نشده را حذف کنند.
خطاهای برنامه نویسی WannaCry Ransomware:
محققان آزمایشگاه کسپرسکی کشف کردند که این باج افزار در پردازش پرونده فقط خواندنی اشکال دارد. اگر چنین پرونده هایی بر روی دستگاه آلوده وجود داشته باشد ، باج افزار به هیچ وجه آنها را رمزگذاری نمی کند. این فقط یک کپی رمزگذاری شده از هر پرونده اصلی را ایجاد می کند ، در حالی که فایل های اصلی فقط "مخفی" صفت. وقتی این اتفاق می افتد ، یافتن آنها و بازیابی خصوصیات عادی آنها ساده است.
- توسعه دهندگان باج افزار اشتباهات زیادی مرتکب شده اند و کیفیت کد بسیار پایین است.
- اگر به باج افزار WannaCry آلوده شده باشید ، احتمال خوبی وجود دارد که بتوانید بسیاری از فایلهای رایانه آسیب دیده را بازیابی کنید.
- برای بازیابی پرونده ها ، می توانید از برنامه های رایگان موجود برای بازیابی فایل استفاده کنید.
مقاله اصلی منبع
