2017 m. Gegužės mėn. „WannaCry“, išpirkos programa gali sukelti sumaištį visame pasaulyje, kai vos per 300,000 valandas 150 šalių pasiekė beveik 72 XNUMX kompiuterių, tačiau tai nereiškia, kad tai buvo aukštos kokybės išpirkos programa. Taip, saugumo tyrėjai „Kaspersky Labs“ neseniai aptiko kai kurias programavimo klaidas „WannaCrypt“ išpirkos sukeliančio kirmino kode.
Šios programavimo klaidos išpirkos programos „WannaCrypt“ kode gali leisti kai kurioms jos aukoms atkurti užrakintus failus naudodami viešai prieinamus nemokamus atkūrimo įrankius ar net paprastomis komandomis nemokėdami už iššifravimo raktą.
„Kaspersky Lab“ vyresnysis kenkėjiškų programų analitikas Antonas Ivanovas, kartu su kolegomis Fedoru Sinitsynu ir Orkhanu Mamedovu, giliai ištyrę kenkėjišką programą, išsamiai aprašė tris „WannaCry“ kūrėjų padarytas kritines klaidas, kurios galėjo leisti administratoriams atkurti potencialiai prarastus failus.
Pasak mokslininkų, šis klausimas yra susijęs su kenkėjiškų programų šifravimo būdu.
„Kai„ Wannacry “užšifruoja savo aukos failus, ji nuskaito iš pradinio failo, užšifruoja turinį ir išsaugo jį faile su plėtiniu„ .WNCRYT “. Po šifravimo jis perkelia „.WNCRYT“ į „.WNCRY“ ir ištrina pradinį failą. Ši ištrynimo logika gali skirtis priklausomai nuo aukos bylų vietos ir ypatybių. “
„WannaCry“ nukopijuoja failus ir sukuria jų užšifruotas kopijas, nes kenkėjiška programinė įranga neįmanoma tiesiogiai užšifruoti ar modifikuoti tik skaitomų failų. Nors originalūs failai lieka nepaliesti, tačiau jiems suteikiamas „paslėptas“ atributas, norint susigrąžinti pradinius duomenis aukoms paprasčiausiai reikia atkurti įprastus atributus.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Failų atkūrimas iš sistemos disko (ty C disko)
Tyrėjų teigimu, failų, saugomų „svarbiuose aplankuose“, pvz., „Desktop“ ar „Documents“ aplanke, negalima atkurti be iššifravimo rakto, nes „WannaCry“ buvo sukurta taip, kad prieš pašalinant originalius failus perrašytų atsitiktiniais duomenimis.
Tačiau tyrėjai pastebėjo, kad kitus failus, saugomus už „svarbių aplankų“ sistemos diske, galima atkurti iš laikino aplanko naudojant duomenų atkūrimo programinę įrangą.
„Jei failas saugomas už„ svarbių “aplankų ribų, pradinis failas bus perkeltas į% TEMP% \% d.WNCRYT (kur% d žymi skaitmeninę vertę). Šiuose failuose yra originalūs duomenys ir jie nėra perrašomi, jie tiesiog ištrinami iš disko, o tai reiškia, kad yra didelė tikimybė, kad juos bus galima atkurti naudojant duomenų atkūrimo programinę įrangą. “
Failų atkūrimas iš ne sistemos diskų
Tyrėjų teigimu, nesisteminiams diskams „WannaCry Ransomware“ sukuria paslėptą aplanką „$ RECYCLE“, kurio nematyti „Windows File Explorer“, jei jis turi numatytąją konfigūraciją. Tada kenkėjiška programa po šifravimo perkelia originalius failus į šį katalogą. Tačiau galite atkurti tuos failus, tik paslėpdami aplanką „$ RECYCLE“.
Be to, dėl „sinchronizavimo klaidų“ išpirkos programinės įrangos kode, daugeliu atvejų originalūs failai lieka tame pačiame kataloge ir nėra perkeliami į „$ RECYCLE“, todėl aukos gali atkurti nesaugiai ištrintus failus naudodamiesi turima duomenų atkūrimo programine įranga.
„WannaCry Ransomware“ programavimo klaidos:
„Kaspersky Lab“ tyrėjai atrado, kad ši išpirkos programa turi tik skaitymo failų apdorojimo klaidą. Jei užkrėstoje mašinoje yra tokių failų, išpirkos programa jų visiškai nešifruos. Tai sukurs tik užkoduotą kiekvieno originalaus failo kopiją, o patys originalūs failai gaus tik „paslėptų“Atributas. Kai taip atsitinka, juos lengva surasti ir atkurti įprastus atributus.
- Išpirkos programinės įrangos kūrėjai padarė daug klaidų, o kodo kokybė yra labai žema.
- Jei buvote užkrėstas „WannaCry“ išpirkos programa, yra didelė tikimybė, kad galėsite atkurti daugelį paveiktame kompiuteryje esančių failų.
- Norėdami atkurti failus, galite naudoti nemokamas failų atkūrimo programas.
Originalus straipsnis Šaltinis
