Yn 'e moanne maaie 2017, WannaCry, in ransomware kin oeral yn 'e heule wrâld ferwoasting hawwe feroarsake doe't it binnen just 300,000 oeren hast 150 PC's yn 72 lannen rekke, mar dat betsjuttet net dat it in heechweardich stik ransomware wie. Ja, feiligensûndersikers by Kaspersky Labs hawwe koartlyn wat programmearfouten ûntdutsen yn 'e koade fan' e WannaCrypt ransomware wjirm.
Dizze programmearflaters yn 'e koade fan' e WannaCrypt-ransomware kinne guon fan har slachtoffers tastean om har beskoattele bestannen te herstellen mei iepenbier beskikber fergeze hersteltools of sels mei ienfâldige kommando's, sûnder te beteljen foar elke dekodearingskaai.
Anton Ivanov, senior malware-analyst by Kaspersky Lab, tegearre mei kollega's Fedor Sinitsyn en Orkhan Mamedov, hawwe nei djip ûndersyk nei de malware, trije krityske flaters detaillearre makke troch WannaCry-ûntwikkelders wêrtroch sysadmins potinsjeel ferlern bestannen kinne herstelle.
Neffens de ûndersikers leit it probleem yn 'e manier wêrop de malware de fersifering útfiert.
"As Wannacry de bestannen fan it slachtoffer fersiferet, lêst it út it orizjinele bestân, fersifert de ynhâld en bewarret it yn it bestân mei de tafoeging" .WNCRYT ". Nei fersifering beweecht it ".WNCRYT" yn ".WNCRY" en wisket it orizjinele bestân. Dizze wiskingslogika kin ferskille ôfhinklik fan de lokaasje en eigenskippen fan de bestannen fan it slachtoffer. ”
WannaCry kopieart de bestannen en makket har fersifere eksimplaren oan om't it foar in kweade software net mooglik is om lêsbestannen direkt te fersiferjen of te wizigjen. Wylst de orizjinele bestannen ûnoantaaste bliuwe, mar in 'ferburgen' attribút krije, fereasket it werombringen fan 'e orizjinele gegevens gewoan dat slachtoffers har normale attributen werstelle.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Bestannen herstelle fan it systeemstasjon (dus C-stasjon)
Neffens ûndersikers kinne bestannen opslein yn 'wichtige mappen', lykas map Desktop of Documents, net wurde weromfûn sûnder de dekodearingssleutel, om't WannaCry is ûntwurpen om orizjinele bestannen te oerskriuwen mei willekeurige gegevens foar ferwidering.
Undersikers hawwe lykwols opmurken dat oare bestannen dy't bûten 'wichtige mappen' opslein binne op it systeemstasjon kinne wurde hersteld út 'e tydlike map mei in software foar gegevensherstel.
“As it bestân bûten 'wichtige' mappen wurdt opslein, dan wurdt it orizjinele bestân ferpleatst nei% TEMP% \% d.WNCRYT (wêr% d in numerike wearde oanjout). Dizze bestannen befetsje de orizjinele gegevens en wurde net oerskreaun, se wurde gewoanwei fan 'e skyf fuortsmiten, wat betsjut dat d'r in hege kâns is dat it mooglik is om se te herstellen mei software foar gegevensherstel. "
Bestannen weromfine fan 'e net-systeemstasjons
Neffens ûndersikers makket foar WannaCry Ransomware foar net-systeemtriuwen in ferburgen '$ RECYCLE' map, dy't ûnsichtber is yn Windows File Explorer as it in standertkonfiguraasje hat. De malware ferpleatst dan orizjinele bestannen nei dizze map nei fersifering. Jo kinne dizze bestannen lykwols weromhelje gewoan troch de map '$ RECYCLE' ûntsiferje.
Fanwegen "syngronisaasjefouten" yn 'e ransomware-koade, bliuwe yn in protte gefallen de orizjinele bestannen yn deselde map en wurde se net ferpleatst nei $ RECYCLE, wêrtroch it mooglik is foar slachtoffers ûnfeilich ferwidere bestannen te herstellen mei de beskikbere software foar gegevensherstel.
WannaCry Ransomware-programmearflaters:
Undersikers fan Kaspersky Lab hawwe ûntdutsen dat dizze ransomware in flater hat yn har lês-allinich bestânsferwurking. As der sokke bestannen binne op 'e ynfekteare masine, dan sil de ransomware se hielendal net fersiferje. It sil allinich in fersifere kopy meitsje fan elke orizjinele bestân, wylst de orizjinele bestannen sels allinich de "ferstoppe”Attribút. As dit bart, is it ienfâldich om se te finen en har normale attributen te herstellen.
- De ûntwikkelders fan ransomware hawwe in soad flaters makke en de koadekwaliteit is heul leech.
- As jo waarden ynfekteare mei WannaCry ransomware, is d'r in goede mooglikheid dat jo in soad fan 'e bestannen op' e oanbelangjende komputer kinne herstelle.
- Om bestannen te herstellen, kinne jo de fergese hulpprogramma's brûke foar bestânherstel.
Oarspronklik artikel boarne
