Le 6 juin 2017

WannaCry Ransomware a des erreurs de codage qui peuvent vous aider à restaurer des fichiers même après une infection

Partagez0
Tweet0
Partagez0
Partagez0
Tweet0
Partagez0

Au mois de mai 2017, WannaCry, un ransomware peut avoir causé des ravages dans le monde entier lorsqu'il a touché près de 300,000 150 PC dans 72 pays en seulement XNUMX heures, mais cela ne signifie pas qu'il s'agissait d'un ransomware de haute qualité. Oui, les chercheurs en sécurité de Kaspersky Labs ont récemment découvert des erreurs de programmation dans le code du ver ransomware WannaCrypt.

Ces erreurs de programmation dans le code du ransomware WannaCrypt pourraient permettre à certaines de ses victimes pour restaurer leurs fichiers verrouillés avec des outils de récupération gratuits accessibles au public ou même avec des commandes simples, sans payer pour aucune clé de déchiffrement.

Anton Ivanov, analyste senior des logiciels malveillants chez Kaspersky Lab, ainsi que ses collègues Fedor Sinitsyn et Orkhan Mamedov, après des recherches approfondies sur le logiciel malveillant, ont détaillé trois erreurs critiques commises par les développeurs de WannaCry qui pourraient permettre aux administrateurs système de restaurer des fichiers potentiellement perdus.

Selon les chercheurs, le problème réside dans la manière dont le malware effectue le cryptage.

« Lorsque Wannacry crypte les fichiers de sa victime, il lit à partir du fichier d'origine, crypte le contenu et l'enregistre dans le fichier avec l'extension « .WNCRYT ». Après le cryptage, il déplace ".WNCRYT" dans ".WNCRY" et supprime le fichier d'origine. Cette logique de suppression peut varier en fonction de l'emplacement et des propriétés des fichiers de la victime. »                                                                                                                                                                                                                                                                                   .

WannaCry copie les fichiers et crée leurs copies cryptées car il n'est pas possible pour un logiciel malveillant de crypter ou de modifier directement les fichiers en lecture seule. Alors que les fichiers d'origine restent intacts mais reçoivent un attribut « caché », pour récupérer les données d'origine, les victimes doivent simplement restaurer leurs attributs normaux.

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

Récupération de fichiers à partir du lecteur système (c'est-à-dire le lecteur C)

Selon les chercheurs, les fichiers stockés dans les « dossiers importants », comme le dossier Bureau ou Documents, ne peuvent pas être récupérés sans la clé de déchiffrement, car WannaCry a été conçu pour écraser les fichiers d'origine avec des données aléatoires avant leur suppression.

WannaCry Ransomware a des erreurs de codage qui peuvent vous aider à restaurer des fichiers même après une infection (1)
Fichiers originaux renommés pouvant être restaurés à partir de %TEMP%

Cependant, les chercheurs ont remarqué que d'autres fichiers stockés en dehors des « dossiers importants » sur le lecteur système pouvaient être restaurés à partir du dossier temporaire à l'aide d'un logiciel de récupération de données.

« Si le fichier est stocké en dehors des dossiers « importants », le fichier d'origine sera déplacé vers %TEMP%\%d.WNCRYT (où %d désigne une valeur numérique). Ces fichiers contiennent les données d'origine et ne sont pas écrasés, ils sont simplement supprimés du disque, ce qui signifie qu'il y a de fortes chances qu'il soit possible de les restaurer à l'aide d'un logiciel de récupération de données.

Récupération de fichiers à partir des lecteurs non système

Selon les chercheurs, pour les lecteurs non système, le WannaCry Ransomware crée un dossier caché « $ RECYCLE », qui est invisible dans l'Explorateur de fichiers Windows s'il a une configuration par défaut. Le malware déplace ensuite les fichiers d'origine dans ce répertoire après cryptage. Cependant, vous pouvez récupérer ces fichiers simplement en affichant le dossier « $ RECYCLE ».

WannaCry Ransomware a des erreurs de codage qui peuvent vous aider à restaurer des fichiers même après une infection (2)
Fichiers originaux pouvant être restaurés à partir d'un lecteur non système

De plus, en raison d'"erreurs de synchronisation" dans le code du ransomware, dans de nombreux cas, les fichiers d'origine restent dans le même répertoire et ne sont pas déplacés dans $ RECYCLE, ce qui permet aux victimes de restaurer des fichiers supprimés de manière non sécurisée à l'aide du logiciel de récupération de données disponible.

Erreurs de programmation WannaCry Ransomware :

Les chercheurs de Kaspersky Lab ont découvert que ce ransomware a un bogue dans le traitement des fichiers en lecture seule. S'il y a de tels fichiers sur la machine infectée, le ransomware ne les chiffrera pas du tout. Il ne créera qu'une copie cryptée de chaque fichier d'origine, tandis que les fichiers d'origine eux-mêmes n'obtiendront que le "caché” attribut. Lorsque cela se produit, il est simple de les trouver et de restaurer leurs attributs normaux.

WannaCry Ransomware a des erreurs de codage qui peuvent vous aider à restaurer des fichiers même après une infection (3)
les fichiers originaux en lecture seule ne sont pas cryptés et restent au même endroit
  • Les développeurs de ransomwares ont fait beaucoup d'erreurs et la qualité du code est très faible.
  • Si vous avez été infecté par le ransomware WannaCry, il est fort probable que vous puissiez restaurer de nombreux fichiers sur l'ordinateur affecté.
  • Pour restaurer des fichiers, vous pouvez utiliser les utilitaires gratuits disponibles pour la récupération de fichiers.

Article d'origine source

Actualités, SYSTÈME-SÉCURITÉ, Technologie, MISES À JOUR TECHNIQUES, tendances

Image de l'auteur

A propos de l'auteure 

Chaitanya

{"email": "Adresse e-mail non valide", "url": "Adresse de site Web non valide", "obligatoire": "Champ obligatoire manquant"}