Di bulan Mei 2017, WannaCry, sebuah ransomware mungkin telah menyebabkan kekacauan di seluruh dunia ketika menyerang hampir 300,000 PC di 150 negara hanya dalam waktu 72 jam, tetapi itu tidak berarti bahwa itu adalah ransomware berkualitas tinggi. Ya, peneliti keamanan di Kaspersky Labs baru-baru ini menemukan beberapa kesalahan pemrograman dalam kode worm ransomware WannaCrypt.
Kesalahan pemrograman ini dalam kode ransomware WannaCrypt dapat menyebabkan beberapa korbannya untuk memulihkan file yang terkunci dengan alat pemulihan gratis yang tersedia untuk umum atau bahkan dengan perintah sederhana, tanpa membayar kunci dekripsi apa pun.
Anton Ivanov, analis malware senior di Kaspersky Lab, bersama dengan rekan Fedor Sinitsyn dan Orkhan Mamedov, setelah meneliti malware secara mendalam, telah merinci tiga kesalahan kritis yang dibuat oleh pengembang WannaCry yang memungkinkan sysadmin memulihkan file yang berpotensi hilang.
Menurut para peneliti, masalahnya terletak pada cara malware melakukan enkripsi.
“Ketika Wannacry mengenkripsi file korbannya, ia membaca dari file asli, mengenkripsi konten dan menyimpannya ke dalam file dengan ekstensi “.WNCRYT”. Setelah enkripsi, ia memindahkan ".WNCRYT" ke ".WNCRY" dan menghapus file asli. Logika penghapusan ini dapat bervariasi tergantung pada lokasi dan properti file korban.”
WannaCry menyalin file dan membuat salinan terenkripsinya karena perangkat lunak berbahaya tidak mungkin mengenkripsi atau memodifikasi file hanya-baca secara langsung. Sementara file asli tetap tidak tersentuh tetapi diberi atribut 'tersembunyi', mendapatkan kembali data asli hanya membutuhkan korban untuk mengembalikan atribut normal mereka.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Memulihkan File dari Drive Sistem (yaitu drive C)
Menurut peneliti, file yang disimpan di 'folder penting', seperti folder Desktop atau Dokumen, tidak dapat dipulihkan tanpa kunci dekripsi karena WannaCry telah dirancang untuk menimpa file asli dengan data acak sebelum dihapus.
Namun, peneliti memperhatikan bahwa file lain yang disimpan di luar 'folder penting' pada drive sistem dapat dipulihkan dari folder sementara menggunakan perangkat lunak pemulihan data.
“Jika file disimpan di luar folder 'penting', maka file asli akan dipindahkan ke %TEMP%\%d.WNCRYT (di mana %d menunjukkan nilai numerik). File-file ini berisi data asli dan tidak ditimpa, mereka hanya dihapus dari disk, yang berarti ada kemungkinan besar untuk memulihkannya menggunakan perangkat lunak pemulihan data.
Memulihkan File dari Drive Non-Sistem
Menurut peneliti, untuk drive non-sistem, Ransomware WannaCry membuat folder '$RECYCLE' tersembunyi, yang tidak terlihat di Windows File Explorer jika memiliki konfigurasi default. Malware kemudian memindahkan file asli ke direktori ini setelah enkripsi. Namun, Anda dapat memulihkan file tersebut hanya dengan menampilkan folder '$RECYCLE'.
Juga, karena "kesalahan sinkronisasi" dalam kode ransomware, dalam banyak kasus, file asli tetap berada di direktori yang sama dan tidak dipindahkan ke $RECYCLE, sehingga memungkinkan korban untuk memulihkan file yang terhapus secara tidak aman menggunakan perangkat lunak pemulihan data yang tersedia.
Kesalahan Pemrograman Ransomware WannaCry:
Peneliti Kaspersky Lab telah menemukan bahwa ransomware ini memiliki bug dalam pemrosesan file hanya-baca. Jika ada file seperti itu di mesin yang terinfeksi, maka ransomware tidak akan mengenkripsinya sama sekali. Itu hanya akan membuat salinan terenkripsi dari setiap file asli, sedangkan file asli itu sendiri hanya mendapatkan "tersembunyi” atribut. Ketika ini terjadi, mudah untuk menemukannya dan mengembalikan atribut normalnya.
- Pengembang ransomware telah membuat banyak kesalahan dan kualitas kode sangat rendah.
- Jika Anda terinfeksi ransomware WannaCry, ada kemungkinan besar Anda akan dapat memulihkan banyak file di komputer yang terpengaruh.
- Untuk memulihkan file, Anda dapat menggunakan utilitas gratis yang tersedia untuk pemulihan file.
Artikel asli sumber
