2017-жылдын май айында, WannaCry, кун программасы 300,000 сааттын ичинде 150 мамлекетте 72 XNUMXге жакын компьютерлерди сүзүп алганда, дүйнө жүзү боюнча кыйроолорду жаратышы мүмкүн, бирок бул анын жогорку сапаттагы куткаруучу программасы болгон дегенди билдирбейт. Ооба, коопсуздукту изилдөөчүлөр Kaspersky Labs жакында WannaCrypt ransomware куртунун программасында айрым катачылыктарды табышты.
WannaCrypt кун программасынын кодундагы бул программалоо каталары анын айрым курмандыктарына жол бериши мүмкүн кулпуланган файлдарын жалпыга жеткиликтүү акысыз калыбына келтирүү куралдары менен, же жөнөкөй буйруктар менен, эч кандай шифрди ачуу үчүн акы төлөбөй калыбына келтирүү.
Касперский лабораториясынын кесепеттүү программасынын аналитиги Антон Иванов кесиптештери Федор Синицын жана Орхан Мамедов менен биргеликте, зыяндуу программаны терең изилдеп чыгып, WannaCry иштеп чыгуучулары тарабынан кетирилген үч маанилүү катаны деталдаштырды, алар sysadminsке жоголуп кетиши мүмкүн болгон файлдарды калыбына келтирүүгө мүмкүндүк берет.
Изилдөөчүлөрдүн айтымында, маселе зыяндуу программанын шифрлөөнү жүзөгө ашыруусуна байланыштуу.
"Wannacry курмандыгынын файлдарын шифрлегенде, баштапкы файлдан окуп, мазмунун шифрлейт жана" .WNCRYT "кеңейтүүсү менен файлга сактайт. Шифрлөөдөн кийин ".WNCRYT" файлын ".WNCRY" кылып жылдырат жана баштапкы файлды жок кылат. Бул жок кылуу логикасы жабырлануучунун файлдарынын жайгашкан жерине жана касиеттерине жараша өзгөрүшү мүмкүн ”.
WannaCry файлдарды көчүрөт жана алардын шифрленген көчүрмөлөрүн жаратат, анткени зыяндуу программалык камсыздоону түз окууга гана мүмкүн болгон файлдарды түздөн-түз шифрлөө же өзгөртүү мүмкүн эмес. Түпнуска файлдар кол тийбестен сакталып, бирок "жашыруун" атрибутка ээ болсо дагы, баштапкы маалыматты кайтарып алуу үчүн курмандыктардан кадимки атрибуттарын калыбына келтирүү талап кылынат.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Файлдарды тутумдук дисктен калыбына келтирүү (б.а. С диск)
Изилдөөчүлөрдүн айтымында, "маанилүү папкаларда" сакталган файлдар, мисалы, Иш такта же Документтер папкасы, шифрди ачуусуз калыбына келтирилбейт, анткени WannaCry түпнуска файлдарды алып салуу алдында кокустук маалыматтар менен жазуу үчүн иштелип чыккан.
Бирок, изилдөөчүлөр тутумдук дисктеги "маанилүү папкалардан" тышкары сакталган башка файлдарды убактылуу калыбына келтирүү үчүн программаны калыбына келтирүү мүмкүн экендигин байкадык.
"Эгер файл" маанилүү "папкалардан тышкары сакталып калса, анда баштапкы файл% TEMP% \% d.WNCRYT көчүрүлөт (мында% d сандык маанини билдирет). Бул файлдар баштапкы маалыматтарды камтыйт жана жазылбайт, алар жөн эле дисктен өчүрүлөт, демек, маалыматты калыбына келтирүү программасын колдонуп, аларды калыбына келтирүү мүмкүнчүлүгү жогору ”.
Файлдарды тутумдук эмес дисктерден калыбына келтирүү
Изилдөөчүлөрдүн айтымында, тутумдук эмес дисктер үчүн WannaCry Ransomware жашыруун '$ RECYCLE' папкасын түзүп, ал Windows File Explorer программасында демейки конфигурацияда көрүнбөйт. Андан кийин кесепеттүү программа шифрлөөдөн кийин баштапкы файлдарды ушул каталогго көчүрөт. Бирок, сиз '$ RECYCLE' папкасын жашыруу менен ал файлдарды калыбына келтире аласыз.
Ошондой эле, ransomware кодундагы "синхрондоштуруу каталарынан" улам, көпчүлүк учурларда баштапкы файлдар ошол эле каталогдо калат жана $ RECYCLEге көчүрүлбөйт, натыйжада маалыматты калыбына келтирүү программасын колдонуп, жабыркагандар кооптуу түрдө жок кылынган файлдарды калыбына келтиришет.
WannaCry Ransomware программалоо каталары:
Касперский лабораториясынын изилдөөчүлөрү бул ransomware файлында окуу үчүн гана окууга мүчүлүштүк бар экендигин аныкташты. Эгер вирус жуккан машинада ушундай файлдар бар болсо, анда аларды ransomware таптакыр шифрлебейт. Ал ар бир түп файлдын шифрленген көчүрмөсүн гана жаратат, ал эми баштапкы файлдар өзүлөрү гана “жашыруун”Атрибуту. Мындай болгондо, аларды табуу жана кадимки атрибуттарын калыбына келтирүү оңой.
- Ransomware иштеп чыгуучулары көп ката кетиришкен жана коддун сапаты өтө төмөн.
- Эгерде сизде WannaCry ransomware жуккан болсо, анда жабыр тарткан компьютердеги көптөгөн файлдарды калыбына келтирүү мүмкүнчүлүгү бар.
- Файлдарды калыбына келтирүү үчүн, файлдарды калыбына келтирүү үчүн жеткиликтүү акысыз кызматтарды колдонсоңуз болот.
макала булак
