2017 жылдың мамыр айында, WannaCry, төлем құралы 300,000 сағаттың ішінде 150 елдегі 72 XNUMX дерлік дербес компьютерлерге тигенде бүкіл әлемді бүлдірген болуы мүмкін, бірақ бұл төлем бағдарламасының жоғары сапалы бөлігі болды дегенді білдірмейді. Иә, қауіпсіздік зерттеушілері Касперский зертханалары жақында WannaCrypt ransomware құртының кодында кейбір бағдарламалау қателерін тапты.
WannaCrypt төлем бағдарламасының кодындағы бұл бағдарламалау қателері оның кейбір құрбандарына мүмкіндік беруі мүмкін бұғатталған файлдарды жалпыға қол жетімді ақысыз қалпына келтіру құралдарымен немесе тіпті қарапайым пәрмендердің көмегімен шифрды шешудің кілтін төлемей қалпына келтіру.
Касперский зертханасының зиянды бағдарламалық қамтамасыз етудің аға талдаушысы Антон Иванов зиянды бағдарламаны терең зерттей келе, әріптестері Федор Синицын мен Орхан Мамедовпен бірге WannaCry әзірлеушілері жіберген үш маңызды қатені егжей -тегжейлі түсіндірді, олар сисадминдерге ықтимал жоғалған файлдарды қалпына келтіруге мүмкіндік береді.
Зерттеушілердің айтуынша, мәселе зиянды бағдарламаның шифрлауды жүзеге асыруында жатыр.
«Wannacry құрбандарының файлдарын шифрлаған кезде, ол бастапқы файлдан оқиды, мазмұнын шифрлайды және« .WNCRYT »кеңейтімі бар файлға сақтайды. Шифрлаудан кейін ол «.WNCRYT» «.WNCRY» ішіне жылжытады және бастапқы файлды жояды. Бұл жою логикасы жәбірленуші файлдарының орналасуына және қасиеттеріне байланысты өзгеруі мүмкін ».
WannaCry файлдарды көшіреді және олардың шифрланған көшірмелерін жасайды, себебі зиянды бағдарламалық қамтамасыз ету үшін тек оқуға арналған файлдарды тікелей шифрлау немесе өзгерту мүмкін емес. Түпнұсқа файлдар өзгеріссіз қалады, бірақ оларға «жасырын» атрибуты берілсе де, бастапқы деректерді қайтару жәбірленушілерден олардың қалыпты атрибуттарын қалпына келтіруді талап етеді.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Жүйелік дискіден файлдарды қалпына келтіру (яғни C дискісі)
Зерттеушілердің пікірінше, «маңызды қалталарда» сақталған файлдар, мысалы, жұмыс үстелі немесе құжаттар қалтасы, шифрды ашу кілтінсіз қалпына келмейді, себебі WannaCry бастапқы файлдарды кездейсоқ деректермен қайта жазуға арналған.
Алайда, зерттеушілер жүйелік дискідегі «маңызды қалталардан» тыс сақталған басқа файлдарды уақытша қалтадан деректерді қалпына келтіру бағдарламалық жасақтамасы арқылы қалпына келтіруге болатынын байқады.
«Егер файл« маңызды »қалталардың сыртында сақталса, онда бастапқы файл %TEMP %\ %d.WNCRYT (мұнда %d сандық мәнді білдіреді) ішіне жылжытылады. Бұл файлдар бастапқы деректерді қамтиды және қайта жазылмайды, олар дискіден жойылады, яғни оларды қалпына келтіру бағдарламалық жасақтамасының көмегімен қалпына келтіру мүмкіндігі жоғары ».
Жүйелік емес дискілерден файлдарды қалпына келтіру
Зерттеушілердің айтуы бойынша, жүйелік емес дискілер үшін WannaCry Ransomware жасырын '$ RECYCLE' қалтасын жасайды, ол Windows File Explorer шолғышында көрінбейді, егер ол әдепкі конфигурацияға ие болса. Зиянды бағдарлама шифрланғаннан кейін түпнұсқа файлдарды осы каталогқа жылжытады. Алайда, сіз бұл файлдарды '$ RECYCLE' қалтасын көрсету арқылы қалпына келтіре аласыз.
Сондай -ақ, төлем коды «синхрондау қателіктеріне» байланысты, көптеген жағдайларда бастапқы файлдар бір каталогта қалады және $ RECYCLE -ге көшірілмейді, бұл құрбандарға деректерді қалпына келтірудің қол жетімді бағдарламалық жасақтамасы арқылы қауіпсіз жойылған файлдарды қалпына келтіруге мүмкіндік береді.
WannaCry Ransomware бағдарламалау қателері:
Касперский зертханасының зерттеушілері бұл төлем құралы файлдарды тек оқуға өңдеуге қатысты қателік бар екенін анықтады. Егер вирус жұққан компьютерде мұндай файлдар болса, онда төлем бағдарламасы оларды шифрламайды. Ол тек әрбір түпнұсқа файлдың шифрланған көшірмесін жасайды, ал бастапқы файлдардың өздері тек «жасырын« атрибут. Бұл жағдайда оларды табу және олардың қалыпты атрибуттарын қалпына келтіру оңай.
- Төлеу бағдарламасын жасаушылар көптеген қателіктер жіберді және код сапасы өте төмен.
- Егер сізге WannaCry ransomware жұқтырылған болса, онда сіз зақымдалған компьютердегі көптеген файлдарды қалпына келтіре аласыз.
- Файлдарды қалпына келтіру үшін файлды қалпына келтіруге арналған ақысыз қызметтік бағдарламаларды пайдалануға болады.
Түпнұсқа мақала қайнар көз
