2017 년 XNUMX 월에 랜섬웨어 WannaCry 300,000 시간 만에 150 개 국가에서 거의 72 만 대의 PC를 공격했을 때 전 세계에 큰 피해를 입혔을 수 있지만 그렇다고해서 고품질 랜섬웨어라는 의미는 아닙니다. 예, 보안 연구원 캐스퍼 스키 랩 최근 WannaCrypt 랜섬웨어 웜 코드에서 일부 프로그래밍 오류를 발견했습니다.
WannaCrypt 랜섬웨어 코드의 이러한 프로그래밍 오류로 인해 일부 피해자가 공개적으로 사용 가능한 무료 복구 도구 또는 간단한 명령을 사용하여 암호 해독 키를 지불하지 않고도 잠긴 파일을 복원 할 수 있습니다.
Kaspersky Lab의 수석 멀웨어 분석가 인 Anton Ivanov는 동료 Fedor Sinitsyn 및 Orkhan Mamedov와 함께 멀웨어를 심도있게 조사한 후 시스템 관리자가 잠재적으로 손실 된 파일을 복원 할 수있는 WannaCry 개발자가 만든 세 가지 중요한 오류를 자세히 설명했습니다.
연구원에 따르면이 문제는 맬웨어가 암호화를 수행하는 방식에 있습니다.
“Wannacry가 피해자의 파일을 암호화 할 때 원본 파일에서 읽고 내용을 암호화 한 다음 확장자가 ".WNCRYT"인 파일에 저장합니다. 암호화 후“.WNCRYT”를“.WNCRY”로 이동하고 원본 파일을 삭제합니다. 이 삭제 논리는 피해자 파일의 위치와 속성에 따라 달라질 수 있습니다. "
WannaCry는 악성 소프트웨어가 읽기 전용 파일을 직접 암호화하거나 수정할 수 없기 때문에 파일을 복사하고 암호화 된 복사본을 만듭니다. 원본 파일은 그대로 유지되지만 '숨겨진'특성이 부여되지만 원본 데이터를 다시 가져 오려면 피해자가 정상적인 특성을 복원해야합니다.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
시스템 드라이브 (예 : C 드라이브)에서 파일 복구
연구원들에 따르면 데스크톱이나 문서 폴더와 같은 '중요 폴더'에 저장된 파일은 WannaCry가 제거하기 전에 임의의 데이터로 원본 파일을 덮어 쓰도록 설계 되었기 때문에 암호 해독 키 없이는 복구 할 수 없습니다.
그러나 연구원들은 시스템 드라이브의 '중요 폴더'외부에 저장된 다른 파일이 데이터 복구 소프트웨어를 사용하여 임시 폴더에서 복원 될 수 있음을 발견했습니다.
“파일이 '중요'폴더 외부에 저장되면 원본 파일은 % TEMP % \ % d.WNCRYT (여기서 % d는 숫자 값을 나타냄)로 이동됩니다. 이러한 파일은 원본 데이터를 포함하며 덮어 쓰지 않으며 단순히 디스크에서 삭제되기 때문에 데이터 복구 소프트웨어를 사용하여 복원 할 수있는 가능성이 높습니다.”
비 시스템 드라이브에서 파일 복구
연구원에 따르면 비 시스템 드라이브의 경우 WannaCry Ransomware는 숨겨진 '$ RECYCLE'폴더를 생성하며 기본 구성이있는 경우 Windows 파일 탐색기에서 볼 수 없습니다. 그런 다음 맬웨어는 암호화 후 원본 파일을이 디렉터리로 이동합니다. 그러나 '$ RECYCLE'폴더를 숨김 해제하면 해당 파일을 복구 할 수 있습니다.
또한 랜섬웨어 코드의 "동기화 오류"로 인해 대부분의 경우 원본 파일이 동일한 디렉토리에 유지되고 $ RECYCLE로 이동되지 않으므로 피해자가 사용 가능한 데이터 복구 소프트웨어를 사용하여 안전하지 않게 삭제 된 파일을 복원 할 수 있습니다.
WannaCry 랜섬웨어 프로그래밍 오류 :
Kaspersky Lab 연구원은이 랜섬웨어가 읽기 전용 파일 처리에 버그가 있음을 발견했습니다. 감염된 컴퓨터에 이러한 파일이 있으면 랜섬웨어가 해당 파일을 전혀 암호화하지 않습니다. 각 원본 파일의 암호화 된 복사본 만 생성하는 반면 원본 파일 자체는 "숨겨진”속성입니다. 이런 일이 발생하면 쉽게 찾아서 정상적인 속성을 복원 할 수 있습니다.
- 랜섬웨어 개발자들은 많은 실수를 저질렀 고 코드 품질이 매우 낮습니다.
- WannaCry 랜섬웨어에 감염된 경우 영향을받는 컴퓨터에서 많은 파일을 복원 할 수있는 좋은 가능성이 있습니다.
- 파일을 복원하려면 파일 복구에 사용할 수있는 무료 유틸리티를 사용할 수 있습니다.
