Ing wulan Mei 2017, WannaCry, ransomware bisa uga nyebabake kerusakan ing saindenging jagad nalika tekan meh 300,000 PC ing 150 negara mung sajrone 72 jam, nanging ora ateges minangka ransomware sing bermutu. Ya, peneliti keamanan ing Lab Kaspersky bubar nemokake sawetara kesalahan program ing kode cacing ransomware WannaCrypt.
Kesalahan pemrograman kasebut ing kode ransomware WannaCrypt bisa ngidini sawetara korbane kanggo mulihake file sing dikunci kanthi alat pemulihan gratis sing kasedhiya ing publik utawa uga kanthi printah sing sederhana, tanpa mbayar kunci dekripsi.
Anton Ivanov, analis malware senior ing Kaspersky Lab, bebarengan karo kolega Fedor Sinitsyn lan Orkhan Mamedov, sawise nggoleki malware, wis rinci babagan telung kesalahan kritis sing digawe pangembang WannaCry sing bisa ngidini sysadmin mulihake file sing bisa ilang.
Miturut peneliti, masalah kasebut ana ing cara malware nindakake enkripsi.
"Nalika Wannacry ndhelik file korbane, mula diwaca saka file asli, ndhelik konten lan nyimpen menyang file kanthi ekstensi" .WNCRYT ". Sawise enkripsi, gerakane ".WNCRYT" dadi ".WNCRY" lan mbusak file asli. Logika pambusakan iki bisa beda-beda gumantung saka lokasi lan properti file korban. ”
WannaCry nyalin file lan nggawe salinan sing dienkripsi amarga ora mungkin piranti lunak jahat ndhelik utawa ngowahi file sing diwaca mung kanthi otomatis. Nalika file asli tetep ora disentuh nanging diwenehi atribut 'didhelikake', ngasilake data asli mung mbutuhake korban mulihake atribut normal.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Waras File saka Drive Sistem (yaiku C drive)
Miturut peneliti, file sing disimpen ing 'folder penting', kaya folder Desktop utawa Documents, ora bisa dipulihake tanpa tombol dekripsi amarga WannaCry wis dirancang kanggo nimpa file asli kanthi data acak sadurunge dicopot.
Nanging, peneliti ngerti manawa file liyane sing disimpen ing njaba 'folder penting' ing drive sistem bisa dipulihake maneh saka folder sementara nggunakake piranti lunak pamulihan data.
"Yen file disimpen ing njaba folder 'penting', mula file asli bakal dipindhah menyang% TEMP% \% d.WNCRYT (ing endi% d nuduhake angka angka). File-file kasebut ngemot data asli lan ora ditimpa, file kasebut mung dicopot saka disk, tegese bisa uga bisa dipulihake kanthi nggunakake piranti lunak pamulihan data. "
Pulih File saka Drive Non-Sistem
Miturut peneliti, kanggo drive non-sistem, WannaCry Ransomware nggawe folder '$ RECYCLE' sing didhelikake, sing ora katon ing Windows File Explorer yen duwe konfigurasi default. Malware banjur pindhah file asli menyang direktori iki sawise enkripsi. Nanging, sampeyan bisa mulihake file kasebut kanthi mbusak folder '$ RecYCLE'.
Uga, amarga ana "kesalahan sinkronisasi" ing kode ransomware, ing pirang-pirang kasus file-file asli tetep ana ing direktori sing padha lan ora dipindhah menyang $ RESYCLE, saengga para korban bisa mulihake file sing ora aman kanthi nggunakake piranti lunak pamulihan data sing kasedhiya.
Kasalahan Pemrograman WannaCry Ransomware:
Peneliti Kaspersky Lab nemokake manawa ransomware iki duwe kesalahan nalika ngolah file mung-read. Yen ana file kasebut ing mesin sing kena infeksi, mula ransomware ora bakal enkripsi. Mung bakal nggawe salinan sing dienkripsi kanggo saben file asli, dene file asli mung entuk "didhelikake”Atribut. Yen kedadeyan kasebut, gampang ditemokake lan pulihake atribut normal.
- Pangembang ransomware wis akeh kesalahan lan kualitas kode kurang banget.
- Yen sampeyan kena infeksi ransomware WannaCry, ana kemungkinan manawa sampeyan bisa mulihake akeh file ing komputer sing kena pengaruh.
- Kanggo mulihake file, sampeyan bisa nggunakake sarana gratis sing kasedhiya kanggo pamulihan file.
Artikel asli sumber
