ໃນເດືອນພຶດສະພາ 2017, ສ. WannaCry, ເຄື່ອງແວ່ນຕາຄ່າໄຖ່ ມັນອາດຈະເຮັດໃຫ້ເກີດຄວາມວຸ້ນວາຍໃນທົ່ວໂລກໃນເວລາທີ່ມັນຕີເກືອບ 300,000 ເຄື່ອງຄອມພິວເຕີ້ໃນ 150 ປະເທດພາຍໃນເວລາພຽງ 72 ຊົ່ວໂມງ, ແຕ່ມັນບໍ່ໄດ້ ໝາຍ ຄວາມວ່າມັນເປັນຊິ້ນສ່ວນທີ່ມີຄຸນນະພາບສູງຂອງຄ່າໄຖ່. ແມ່ນແລ້ວ, ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພຢູ່ ຫ້ອງທົດລອງ Kaspersky ບໍ່ດົນມານີ້ໄດ້ຄົ້ນພົບບາງຂໍ້ຜິດພາດໃນການຂຽນໂປແກຼມໃນລະຫັດຂອງ WannaCrypt ransomware worm.
ຂໍ້ຜິດພາດຂອງການຂຽນໂປແກຼມເຫລົ່ານີ້ຢູ່ໃນລະຫັດຂອງ WannaCrypt ransomware ສາມາດອະນຸຍາດໃຫ້ຜູ້ເຄາະຮ້າຍບາງຄົນຂອງມັນ ເພື່ອຟື້ນຟູເອກະສານລັອກຂອງພວກເຂົາດ້ວຍເຄື່ອງມືການກູ້ຄືນທີ່ສາມາດໃຊ້ໄດ້ໂດຍສາທາລະນະຫລືແມ່ນແຕ່ດ້ວຍ ຄຳ ສັ່ງງ່າຍໆໂດຍບໍ່ຕ້ອງເສຍເງິນ ສຳ ລັບການຖອດລະຫັດໃດໆ
ທ່ານ Anton Ivanov, ນັກວິເຄາະອາວຸໂສ malware ທີ່ Kaspersky Lab, ພ້ອມດ້ວຍເພື່ອນຮ່ວມງານ Fedor Sinitsyn ແລະ Orkhan Mamedov, ຫລັງຈາກຄົ້ນຄ້ວາ Malware ຢ່າງເລິກເຊິ່ງ, ມີລາຍລະອຽດສາມຂໍ້ຜິດພາດ ສຳ ຄັນທີ່ນັກພັດທະນາ WannaCry ສາມາດອະນຸຍາດໃຫ້ sysadmins ຟື້ນຟູເອກະສານທີ່ສູນເສຍໄປ.
ອີງຕາມນັກຄົ້ນຄວ້າ, ບັນຫາແມ່ນຢູ່ໃນວິທີການທີ່ malware ປະຕິບັດການເຂົ້າລະຫັດ.
“ ເມື່ອ Wannacry ເຂົ້າລະຫັດເອກະສານຂອງຜູ້ເຄາະຮ້າຍ, ມັນອ່ານຈາກເອກະສານຕົ້ນສະບັບ, ເຂົ້າລະຫັດເນື້ອຫາແລະບັນທຶກມັນໄວ້ໃນແຟ້ມເອກະສານດ້ວຍນາມສະກຸນ“ .WNCRYT”. ຫຼັງຈາກການເຂົ້າລະຫັດມັນຍ້າຍ“ .WNCRYT” ເຂົ້າໄປໃນ“ .WNCRY” ແລະລຶບເອກະສານຕົ້ນສະບັບ. ເຫດຜົນການລຶບນີ້ອາດຈະແຕກຕ່າງກັນໄປຕາມສະຖານທີ່ແລະຄຸນສົມບັດຂອງໄຟລ໌ຂອງຜູ້ເຄາະຮ້າຍ.”
WannaCry ຄັດລອກແຟ້ມເອກະສານແລະສ້າງ ສຳ ເນົາທີ່ຖືກເຂົ້າລະຫັດເພາະມັນບໍ່ເປັນໄປໄດ້ ສຳ ລັບຊອບແວທີ່ເປັນອັນຕະລາຍທີ່ຈະເຂົ້າລະຫັດຫລືແກ້ໄຂເອກະສານທີ່ອ່ານເທົ່ານັ້ນ. ໃນຂະນະທີ່ບັນດາເອກະສານຕົ້ນສະບັບຍັງຄົງບໍ່ໄດ້ຮັບການຕອບສະ ໜອງ ແຕ່ມີຄຸນລັກສະນະ 'ເຊື່ອງໄວ້', ການໄດ້ຮັບຂໍ້ມູນເດີມໆພຽງແຕ່ຮຽກຮ້ອງໃຫ້ຜູ້ເຄາະຮ້າຍຟື້ນຟູຄຸນລັກສະນະປົກກະຕິຂອງມັນ.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
ການກູ້ຄືນເອກະສານຈາກ System Drive (ໝາຍ ເຖິງ C drive)
ອີງຕາມນັກຄົ້ນຄວ້າ, ແຟ້ມທີ່ເກັບໄວ້ໃນ 'ແຟ້ມທີ່ ສຳ ຄັນ', ເຊັ່ນ folder ຫລື Desktop ຫລືເອກະສານເອກະສານ, ບໍ່ສາມາດກູ້ຄືນໄດ້ໂດຍບໍ່ມີລະຫັດຖອດລະຫັດ, ເພາະວ່າ WannaCry ໄດ້ຖືກອອກແບບເພື່ອຂຽນທັບແຟ້ມເອກະສານຕົ້ນສະບັບດ້ວຍຂໍ້ມູນແບບສຸ່ມກ່ອນການໂຍກຍ້າຍ.
ເຖິງຢ່າງໃດກໍ່ຕາມ, ນັກຄົ້ນຄວ້າໄດ້ສັງເກດເຫັນວ່າເອກະສານອື່ນໆທີ່ເກັບໄວ້ຢູ່ນອກ 'ແຟ້ມ ສຳ ຄັນ' ໃນໄດລະບົບສາມາດຖືກ ນຳ ກັບມາຈາກໂຟນເດີຊົ່ວຄາວໂດຍໃຊ້ໂປແກຼມກູ້ຂໍ້ມູນ.
“ ຖ້າເອກະສານເກັບໄວ້ຢູ່ຂ້າງແຟ້ມທີ່ ສຳ ຄັນ, ຫຼັງຈາກນັ້ນເອກະສານຕົ້ນສະບັບຈະຖືກຍ້າຍໄປທີ່% TEMP% \% d.WNCRYT (ບ່ອນທີ່% d ໝາຍ ເຖິງຄ່າຕົວເລກ). ບັນດາເອກະສານເຫລົ່ານີ້ບັນຈຸຂໍ້ມູນຕົ້ນສະບັບແລະບໍ່ໄດ້ຂຽນທັບ, ມັນຖືກລຶບອອກຈາກແຜ່ນ, ໝາຍ ຄວາມວ່າມີໂອກາດສູງທີ່ຈະສາມາດຟື້ນຟູຂໍ້ມູນເຫລົ່ານັ້ນໂດຍໃຊ້ຊອບແວການກູ້ຂໍ້ມູນ.”
ກູ້ຄືນເອກະສານຈາກໄດທີ່ບໍ່ແມ່ນລະບົບ
ອີງຕາມນັກຄົ້ນຄວ້າ, ສຳ ລັບການຂັບຂີ່ທີ່ບໍ່ແມ່ນລະບົບ, WannaCry Ransomware ສ້າງໂຟນເດີ '$ RECYCLE' ທີ່ເຊື່ອງໄວ້ເຊິ່ງມັນຈະເບິ່ງບໍ່ເຫັນຢູ່ໃນ Windows File Explorer ຖ້າມັນມີການຕັ້ງຄ່າເລີ່ມຕົ້ນ. ມັນແວຈະຍ້າຍໄຟລ໌ຕົ້ນສະບັບເຂົ້າໃນໄດເລກະທໍລີນີ້ຫຼັງຈາກເຂົ້າລະຫັດ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ທ່ານສາມາດກູ້ຄືນເອກະສານເຫລົ່ານັ້ນໄດ້ໂດຍພຽງແຕ່ເປີດໂຟນເດີ '$ RECYCLE'.
ນອກຈາກນີ້, ເນື່ອງຈາກ "ຂໍ້ຜິດພາດການປະສານສົມທົບ" ໃນລະຫັດ ransomware, ໃນຫລາຍໆກໍລະນີເອກະສານຕົ້ນສະບັບຢູ່ໃນລະບົບດຽວກັນແລະບໍ່ຖືກຍ້າຍເຂົ້າໄປໃນ $ RECYCLE, ເຮັດໃຫ້ຜູ້ເຄາະຮ້າຍສາມາດຟື້ນຟູເອກະສານທີ່ຖືກລຶບຖິ້ມໂດຍບໍ່ປອດໄພໂດຍໃຊ້ຊອບແວການຟື້ນຟູຂໍ້ມູນທີ່ມີຢູ່.
ຂໍ້ຜິດພາດຂອງໂປແກມ WannaCry Ransomware:
ນັກຄົ້ນຄວ້າ Kaspersky Lab ໄດ້ຄົ້ນພົບວ່າເຄື່ອງຊົດເຊີຍຄ່າໄຖ່ນີ້ມີຂໍ້ບົກຜ່ອງໃນການປະມວນຜົນເອກະສານທີ່ອ່ານເທົ່ານັ້ນ. ຖ້າມີໄຟລ໌ດັ່ງກ່າວຢູ່ໃນເຄື່ອງທີ່ຕິດເຊື້ອ, ຫຼັງຈາກນັ້ນ ransomware ຈະບໍ່ເຂົ້າລະຫັດພວກມັນເລີຍ. ມັນພຽງແຕ່ຈະສ້າງ ສຳ ເນົາທີ່ຖືກເຂົ້າລະຫັດຂອງແຕ່ລະເອກະສານຕົ້ນສະບັບເທົ່ານັ້ນ, ໃນຂະນະທີ່ເອກະສານຕົ້ນສະບັບເອງກໍ່ໄດ້ຮັບພຽງແຕ່“ເຊື່ອງໄວ້ຄຸນລັກສະນະ. ເມື່ອສິ່ງນີ້ເກີດຂື້ນ, ມັນງ່າຍດາຍທີ່ຈະຊອກຫາພວກເຂົາແລະຟື້ນຟູຄຸນລັກສະນະປົກກະຕິຂອງພວກເຂົາ.
- ນັກພັດທະນາ ransomware ໄດ້ມີຂໍ້ຜິດພາດຫຼາຍແລະຄຸນນະພາບຂອງລະຫັດແມ່ນຕໍ່າຫຼາຍ.
- ຖ້າທ່ານຕິດເຊື້ອ WannaCry ransomware, ມີຄວາມເປັນໄປໄດ້ທີ່ດີທີ່ທ່ານຈະສາມາດຟື້ນຟູເອກະສານຫຼາຍຢ່າງໃນຄອມພິວເຕີທີ່ຖືກກະທົບ.
- ເພື່ອຟື້ນຟູເອກະສານ, ທ່ານສາມາດໃຊ້ສິ່ງ ອຳ ນວຍຄວາມສະດວກຕ່າງໆທີ່ມີໃຫ້ກັບການກູ້ຄືນເອກະສານ.
ບົດຂຽນຕົ້ນສະບັບ ແຫຼ່ງ
