U mjesecu svibnju 2017., WannaCry, ransomware možda izazvao pustoš po cijelom svijetu kada je u samo 300,000 sata pogodio gotovo 150 72 računala u XNUMX zemalja, ali to ne znači da je riječ o visokokvalitetnom komadu ransomwarea. Da, istraživači sigurnosti na Laboratoriji Kaspersky nedavno su otkrili neke programske pogreške u kodu crva WannaCrypt ransomware.
Te programske pogreške u kodu WannaCrypt ransomwarea mogu dopustiti neke od njegovih žrtava za vraćanje zaključanih datoteka pomoću javno dostupnih besplatnih alata za oporavak ili čak jednostavnim naredbama, bez plaćanja bilo kakvog ključa za dešifriranje.
Anton Ivanov, viši analitičar zlonamjernog softvera u laboratoriju Kaspersky, zajedno s kolegama Fedorom Sinitsynom i Orkhanom Mamedovom, nakon detaljnog istraživanja zlonamjernog softvera, detaljno su opisali tri kritične pogreške programera WannaCry koje bi mogle omogućiti sysadminima da obnove potencijalno izgubljene datoteke.
Prema istraživačima, problem leži u načinu na koji zlonamjerni softver vrši šifriranje.
"Kada Wannacry šifrira datoteke svoje žrtve, čita iz izvorne datoteke, šifrira sadržaj i sprema ga u datoteku s nastavkom" .WNCRYT ". Nakon šifriranja premješta ".WNCRYT" u ".WNCRY" i briše izvornu datoteku. Ova logika brisanja može se razlikovati ovisno o mjestu i svojstvima žrtvinih datoteka. "
WannaCry kopira datoteke i stvara njihove šifrirane kopije, jer zlonamjerni softver ne može izravno šifrirati ili mijenjati datoteke samo za čitanje. Iako izvorne datoteke ostaju netaknute, ali im se daje 'skriveni' atribut, vraćanje izvornih podataka jednostavno zahtijeva da žrtve vrate svoje uobičajene atribute.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Oporavak datoteka sa sistemskog pogona (tj. C pogona)
Prema istraživačima, datoteke pohranjene u 'važnim mapama', poput mape Desktop ili Documents, ne mogu se oporaviti bez ključa za dešifriranje, jer je WannaCry dizajniran za prepisivanje izvornih datoteka slučajnim podacima prije uklanjanja.
Međutim, istraživači su primijetili da se druge datoteke pohranjene izvan 'važnih mapa' na sistemskom pogonu mogu vratiti iz privremene mape pomoću softvera za oporavak podataka.
“Ako je datoteka pohranjena izvan 'važnih' mapa, tada će izvorna datoteka biti premještena u% TEMP% \% d.WNCRYT (gdje% d označava brojčanu vrijednost). Te datoteke sadrže izvorne podatke i nisu prebrisane, već se jednostavno brišu s diska, što znači da postoji velika vjerojatnost da će ih biti moguće vratiti pomoću softvera za oporavak podataka. "
Oporavak datoteka s nesustavnih pogona
Prema istraživačima, za pogone koji nisu sustav, WannaCry Ransomware stvara skrivenu mapu '$ RECYCLE', koja je nevidljiva u Windows File Exploreru ako ima zadanu konfiguraciju. Zlonamjerni softver zatim premješta izvorne datoteke u ovaj direktorij nakon šifriranja. Međutim, te datoteke možete oporaviti otkrivanjem mape '$ RECYCLE'.
Također, zbog "pogrešaka sinkronizacije" u ransomware kodu, u mnogim slučajevima izvorne datoteke ostaju u istom direktoriju i ne premještaju se u $ RECYCLE, što žrtvama omogućava nesigurno obrisanje datoteka pomoću dostupnog softvera za oporavak podataka.
Pogreške programiranja WannaCry Ransomware:
Istraživači Kaspersky Laba otkrili su da ovaj ransomware ima grešku u obradi datoteka samo za čitanje. Ako na zaraženom računalu postoje takve datoteke, ransomware ih uopće neće šifrirati. Stvorit će samo šifriranu kopiju svake izvorne datoteke, dok same izvorne datoteke dobivaju samo "skrivenAtribut. Kada se to dogodi, jednostavno ih je pronaći i vratiti im normalne atribute.
- Programeri ransomwarea napravili su puno pogrešaka, a kvaliteta koda je vrlo niska.
- Ako ste zaraženi WannaCry ransomwareom, postoji velika vjerojatnost da ćete moći obnoviti puno datoteka na pogođenom računalu.
- Da biste vratili datoteke, možete koristiti besplatne uslužne programe dostupne za oporavak datoteka.
Izvorni članak izvor
