Í maí mánuði 2017, WannaCry, lausnarforrit kann að hafa valdið usla um allan heim þegar það lenti í næstum 300,000 tölvum í 150 löndum á aðeins 72 klukkustundum, en það þýðir ekki að það hafi verið hágæða stykki af lausnargjaldi. Já, öryggisfræðingar hjá Kaspersky Labs hafa nýlega uppgötvað nokkrar forritunarvillur í kóða WannaCrypt ransomware ormsins.
Þessar forritunarvillur í kóðanum á WannaCrypt lausnarforritinu gætu leyft sumum fórnarlambanna að endurheimta læstar skrár sínar með ókeypis tiltækum bataverkfærum eða jafnvel með einföldum skipunum, án þess að greiða fyrir neinn afkóðunarlykil.
Anton Ivanov, sérfræðingur í spilliforritum hjá Kaspersky Lab, ásamt kollegum Fedor Sinitsyn og Orkhan Mamedov hafa, eftir að hafa kannað djúpt malware, ítarlegar þrjár mikilvægar villur frá WannaCry verktaki sem gætu gert sysadmins kleift að endurheimta hugsanlega glataðar skrár.
Samkvæmt vísindamönnunum liggur málið í því hvernig spilliforritið framkvæmir dulkóðunina.
„Þegar Wannacry dulkóðar skrár fórnarlambsins les það úr upprunalegu skránni, dulkóðar innihaldið og vistar það í skránni með viðbótinni„ .WNCRYT “. Eftir dulkóðun færist það „.WNCRYT“ yfir í „.WNCRY“ og eyðir upprunalegu skránni. Þessi eyðingarlógík getur verið breytileg eftir staðsetningu og eiginleikum skrár fórnarlambsins. “
WannaCry afritar skrárnar og býr til dulkóðuð afrit þeirra vegna þess að ekki er mögulegt fyrir illgjarnan hugbúnað að dulkóða beint eða breyta skrifvörnum. Þó að upprunalegu skrárnar séu ósnortnar en þeim gefinn „falinn“ eiginleiki, þá þurfa fórnarlömb einfaldlega að endurheimta eðlileg eiginleika þess að fá upphafleg gögn aftur.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Að endurheimta skrár af kerfisdrifinu (þ.e. C drifi)
Samkvæmt vísindamönnum er ekki hægt að endurheimta skrár sem eru geymdar í „mikilvægu möppunum“, svo sem skjáborðinu eða skjölumöppunni, án afkóðunarlykilsins vegna þess að WannaCry hefur verið hannað til að skrifa upp á frumskrár með handahófskenndum gögnum áður en þær eru fjarlægðar.
Hins vegar tóku vísindamenn eftir því að hægt var að endurheimta aðrar skrár sem eru geymdar utan „mikilvægra möppu“ á kerfisdrifinu úr tímabundnu möppunni með því að nota gagnabatahugbúnað.
„Ef skráin er geymd fyrir utan„ mikilvægar “möppur, þá verður frumskráin færð í% TEMP% \% d.WNCRYT (þar sem% d táknar tölugildi). Þessar skrár innihalda upphafleg gögn og eru ekki skrifaðar yfir, þeim er einfaldlega eytt af disknum, sem þýðir að það eru miklar líkur á að hægt verði að endurheimta þær með því að nota gagnabatahugbúnað. “
Að endurheimta skrár úr drifum sem ekki eru kerfisstjórar
Samkvæmt vísindamönnum, fyrir drif utan kerfisins, býr WannaCry Ransomware til falinn '$ RECYCLE' möppu, sem er ósýnileg í Windows File Explorer ef hún hefur sjálfgefna stillingu. Spilliforritið flytur síðan frumskrár í þessa skrá eftir dulkóðun. Þú getur hins vegar endurheimt þessar skrár með því að afhjúpa möppuna '$ RECYCLE'.
Einnig, vegna „samstillingarvillna“ í lausnarforritakóðanum, eru upprunalegu skrárnar í mörgum tilvikum í sömu skránni og eru ekki færðar í $ RECYCLE, sem gerir fórnarlömbum mögulegt að endurheimta ónýtt skrár sem notaðar eru með því að nota tiltækan gagnabatahugbúnað.
Forritunarvillur WannaCry Ransomware:
Vísindamenn Kaspersky Lab hafa komist að því að þessi lausnarforrit hefur galla í ritvinnslu skjalavinnslu. Ef það eru slíkar skrár á sýktu vélinni, þá ransar hugbúnaðurinn alls ekki dulkóðað þær. Það mun aðeins búa til dulkóðuð afrit af hverri frumskrá, en upprunalegu skrárnar sjálfar fá aðeins „falinn”Eiginleiki. Þegar þetta gerist er einfalt að finna þá og endurheimta eðlilega eiginleika þeirra.
- Ransomware verktaki hefur gert mikið af mistökum og kóða gæði er mjög lágt.
- Ef þú varst smitaður af WannaCry ransomware er góður möguleiki að þú getir endurheimt mikið af skrám í viðkomandi tölvu.
- Til að endurheimta skrár geturðu notað ókeypis tól sem eru í boði fyrir skráabata.
Upprunaleg grein uppspretta
