WannaCry Ransomware ten erros de codificación que poden axudarche a restaurar ficheiros incluso despois da infección

No mes de maio de 2017, WannaCry, un ransomware pode causar estragos en todo o mundo cando alcanzou case 300,000 computadoras en 150 países en só 72 horas, pero iso non significa que fose un ransomware de alta calidade. Si, investigadores de seguridade en Kaspersky Labs descubrín recentemente algúns erros de programación no código do gusano de ransomware WannaCrypt.

Estes erros de programación no código do ransomware WannaCrypt poderían permitir a algunhas das súas vítimas para restaurar os seus ficheiros bloqueados con ferramentas de recuperación gratuítas dispoñibles ao público ou incluso con comandos sinxelos, sen pagar ningunha clave de descifrado.

Anton Ivanov, analista senior de malware en Kaspersky Lab, xunto cos compañeiros Fedor Sinitsyn e Orkhan Mamedov, despois de investigar profundamente o malware, detallaron tres erros críticos cometidos polos desenvolvedores de WannaCry que poderían permitir aos administradores de sistemas restaurar os ficheiros potencialmente perdidos.

Segundo os investigadores, o problema reside na forma en que o malware leva a cabo o cifrado.

"Cando Wannacry cifra os ficheiros da súa vítima, le do ficheiro orixinal, cifra o contido e gárdao no ficheiro coa extensión" .WNCRYT ". Despois do cifrado, move ".WNCRYT" a ".WNCRY" e elimina o ficheiro orixinal. Esta lóxica de eliminación pode variar segundo a localización e as propiedades dos ficheiros da vítima ".

WannaCry copia os ficheiros e crea as súas copias cifradas porque non é posible que un software malicioso cifre ou modifique directamente ficheiros de só lectura. Aínda que os ficheiros orixinais permanecen sen tocar pero reciben un atributo "oculto", recuperar os datos orixinais simplemente require que as vítimas restauren os seus atributos normais.

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

Recuperar ficheiros da unidade do sistema (é dicir, unidade C)

Segundo os investigadores, os ficheiros almacenados nas "carpetas importantes", como o escritorio ou o cartafol Documentos, non se poden recuperar sen a clave de descifrado porque WannaCry foi deseñado para sobrescribir ficheiros orixinais con datos aleatorios antes da eliminación.

WannaCry Ransomware ten erros de codificación que poden axudarche a restaurar ficheiros incluso despois da infección (1) — Cambiouse o nome de ficheiros orixinais que se poden restaurar desde% TEMP%

Non obstante, os investigadores notaron que outros ficheiros almacenados fóra de "carpetas importantes" na unidade do sistema poderían restaurarse desde o cartafol temporal mediante un software de recuperación de datos.

"Se o ficheiro está almacenado fóra de cartafoles" importantes ", entón o ficheiro orixinal moverase a% TEMP% \% d.WNCRYT (onde% d denota un valor numérico). Estes ficheiros conteñen os datos orixinais e non se sobrescriben, simplemente bórranse do disco, o que significa que hai moitas posibilidades de que se poidan restaurar mediante o software de recuperación de datos.

Recuperación de ficheiros das unidades non do sistema

Segundo investigadores, para as unidades que non son do sistema, o WannaCry Ransomware crea un cartafol oculto '$ RECYCLE', que é invisible no Explorador de ficheiros de Windows se ten unha configuración predeterminada. Despois, o malware move os ficheiros orixinais a este directorio despois do cifrado. Non obstante, pode recuperar eses ficheiros só mostrando o cartafol '$ RECICLAR'.

WannaCry Ransomware ten erros de codificación que poden axudarche a restaurar ficheiros incluso despois da infección (2) — Ficheiros orixinais que se poden restaurar desde unha unidade non do sistema

Ademais, debido a "erros de sincronización" no código de ransomware, en moitos casos os ficheiros orixinais permanecen no mesmo directorio e non se moven a $ RECYCLE, o que fai que as vítimas poidan restaurar os ficheiros eliminados de forma insegura mediante o software de recuperación de datos dispoñible.

Erros de programación de WannaCry Ransomware:

Investigadores de Kaspersky Lab descubriron que este ransomware ten un erro no procesamento de ficheiros de só lectura. Se hai estes ficheiros na máquina infectada, o ransomware non os cifrará en absoluto. Só creará unha copia cifrada de cada ficheiro orixinal, mentres que os ficheiros orixinais só obterán o "escondido”Atributo. Cando isto ocorre, é sinxelo atopalos e restaurar os seus atributos normais.

WannaCry Ransomware ten erros de codificación que poden axudarche a restaurar ficheiros incluso despois da infección (3) — os ficheiros riginal de só lectura non están cifrados e permanecen no mesmo lugar

Os desenvolvedores de ransomware cometeron moitos erros e a calidade do código é moi baixa.
Se estivo infectado co ransomware de WannaCry, hai unha boa posibilidade de que poida restaurar moitos ficheiros do ordenador afectado.
Para restaurar ficheiros, pode empregar as utilidades gratuítas dispoñibles para a recuperación de ficheiros.

Artigo orixinal fonte

Noticias- HUASHIL, SEGURIDADE DO SISTEMA, Tecnoloxía, ACTUALIZACIÓNS TÉCNICAS, trending

Sobre o autor

WannaCry Ransomware ten erros de codificación que poden axudarche a restaurar ficheiros incluso despois da infección

Recuperar ficheiros da unidade do sistema (é dicir, unidade C)

Recuperación de ficheiros das unidades non do sistema

Erros de programación de WannaCry Ransomware:

Chaitanya

Smartphones de 32 bits contra teléfonos de 64 bits: Cal é a diferenza? Cal é mellor?

Consellos para usar a telemática para a súa flota

Simulando o futuro co programa de inicio de Ansys