Toukokuussa 2017 WannaCry, lunnasohjelma saattaa olla aiheuttanut tuhoja kaikkialla maailmassa, kun se osui lähes 300,000 150 tietokonetta 72 maassa vain XNUMX tunnin kuluessa, mutta se ei tarkoita, että se olisi korkealaatuinen ransomware. Kyllä, turvallisuustutkijat Kaspersky Labs ovat äskettäin löytäneet joitain ohjelmointivirheitä WannaCrypt-ransomware-mato-koodista.
Nämä ohjelmointivirheet WannaCrypt-lunnasohjelman koodissa voivat sallia sen uhreja palauttaa lukitut tiedostot julkisesti saatavilla olevilla ilmaisilla palautustyökaluilla tai jopa yksinkertaisilla komennoilla maksamatta salauksen avaimesta.
Kaspersky Labin vanhempi haittaohjelmanalyytikko Anton Ivanov yhdessä kollegoidensa Fedor Sinitsynin ja Orkhan Mamedovin kanssa on tutkinut syvällisesti haittaohjelmia perusteellisesti kolme kriittistä virhettä, jotka WannaCry-kehittäjät ovat tehneet, mikä voi sallia sysadminien palauttaa mahdollisesti kadonneet tiedostot.
Tutkijoiden mukaan ongelma liittyy tapaan, jolla haittaohjelma suorittaa salauksen.
"Kun Wannacry salaa uhrinsa tiedostot, se lukee alkuperäisestä tiedostosta, salaa sisällön ja tallentaa sen tiedostoon, jonka tunniste on .WNCRYT. Salaisuuden jälkeen se siirtää .WNCRYT-tiedoston .WNCRY-tiedostoon ja poistaa alkuperäisen tiedoston. Tämä poistologiikka voi vaihdella uhrin tiedostojen sijainnin ja ominaisuuksien mukaan. "
WannaCry kopioi tiedostot ja luo niiden salatut kopiot, koska haittaohjelmat eivät voi salata tai muokata vain luku-tiedostoja. Vaikka alkuperäiset tiedostot pysyvät koskemattomina, mutta niille annetaan 'piilotettu' attribuutti, alkuperäisten tietojen palauttaminen vaatii uhrien yksinkertaisesti palauttamaan normaalit määritteensä.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Tiedostojen palauttaminen järjestelmäasemasta (ts. C-asemasta)
Tutkijoiden mukaan tärkeisiin kansioihin, kuten Työpöytä- tai Asiakirjat-kansioon, tallennettuja tiedostoja ei voida palauttaa ilman salauksenavainta, koska WannaCry on suunniteltu korvaamaan alkuperäiset tiedostot satunnaisilla tiedoilla ennen poistamista.
Tutkijat huomasivat kuitenkin, että muut järjestelmäaseman tärkeiden kansioiden ulkopuolelle tallennetut tiedostot voitiin palauttaa väliaikaisesta kansiosta tietojen palautusohjelmiston avulla.
"Jos tiedosto on tallennettu" tärkeiden "kansioiden ulkopuolelle, alkuperäinen tiedosto siirretään kohtaan% TEMP% \% d.WNCRYT (missä% d tarkoittaa numeerista arvoa). Nämä tiedostot sisältävät alkuperäisen datan, eikä niitä korvata, vaan ne yksinkertaisesti poistetaan levyltä, mikä tarkoittaa, että on todennäköistä, että ne voidaan palauttaa tietojen palautusohjelmiston avulla. "
Tiedostojen palauttaminen muista kuin levyasemista
Tutkijoiden mukaan muille kuin järjestelmäasemille WannaCry Ransomware luo piilotetun '$ RECYCLE' -kansion, joka on näkymätön Windows File Explorerissa, jos sillä on oletusasetukset. Sitten haittaohjelma siirtää alkuperäiset tiedostot tähän hakemistoon salauksen jälkeen. Voit kuitenkin palauttaa nämä tiedostot piilottamalla $ RECYCLE-kansion.
Lisäksi ransomware-koodin "synkronointivirheiden" vuoksi alkuperäiset tiedostot pysyvät monissa tapauksissa samassa hakemistossa eikä niitä siirretä $ RECYCLE -levylle, mikä tekee uhreille mahdolliseksi palauttaa turvattomasti poistetut tiedostot käytettävissä olevan tietojen palautusohjelmiston avulla.
WannaCry Ransomware -ohjelmointivirheet:
Kaspersky Labin tutkijat ovat havainneet, että tällä lunnasohjelmalla on virhe vain luku -tiedostojen käsittelyssä. Jos tartunnan saaneessa koneessa on tällaisia tiedostoja, lunnasohjelma ei salaa niitä lainkaan. Se luo vain salatun kopion jokaisesta alkuperäisestä tiedostosta, kun taas alkuperäiset tiedostot itse saavat vainkätketty”-Attribuutti. Kun näin tapahtuu, on helppo löytää ne ja palauttaa normaalit ominaisuudet.
- Lunnasohjelmien kehittäjät ovat tehneet paljon virheitä ja koodin laatu on erittäin heikko.
- Jos olet saanut WannaCry-lunnasohjelman tartunnan, on hyvä mahdollisuus, että pystyt palauttamaan paljon tiedostoja kyseiselle tietokoneelle.
- Tiedostojen palauttamiseksi voit käyttää tiedostojen palauttamiseen käytettävissä olevia ilmaisia apuohjelmia.
Alkuperäinen artikkeli lähde
