2017. gada maijā WannaCry, izpirkuma programmatūra iespējams, ir izraisījis postījumus visā pasaulē, kad tas 300,000 stundu laikā sasniedza gandrīz 150 72 personālo datoru XNUMX valstīs, taču tas nenozīmē, ka tas bija augstas kvalitātes ransomware. Jā, drošības pētnieki Kaspersky Labs nesen atklājāt dažas programmēšanas kļūdas WansCrypt ransomware tārpa kodā.
Šīs programmēšanas kļūdas ransomware WannaCrypt kodā varētu atļaut dažiem tās upuriem atjaunot bloķētos failus ar publiski pieejamiem bezmaksas atkopšanas rīkiem vai pat ar vienkāršām komandām, nemaksājot par atšifrēšanas atslēgu.
Kaspersky Lab vecākais ļaunprātīgas programmatūras analītiķis Antons Ivanovs kopā ar kolēģiem Fedoru Sinitsinu un Orhanu Mamedovu pēc padziļinātas ļaunprogrammatūras izpētes ir sīki aprakstījis trīs kritiskās kļūdas, kuras pieļāvuši WannaCry izstrādātāji, kas varētu ļaut sistēmadministiem atjaunot potenciāli zaudētos failus.
Pēc pētnieku domām, jautājums ir saistīts ar veidu, kā ļaunprogrammatūra veic šifrēšanu.
“Kad Wannacry šifrē upura failus, tas nolasa no sākotnējā faila, šifrē saturu un saglabā failā ar paplašinājumu“ .WNCRYT ”. Pēc šifrēšanas tas pārvieto “.WNCRYT” uz “.WNCRY” un izdzēš sākotnējo failu. Šī dzēšanas loģika var atšķirties atkarībā no upura failu atrašanās vietas un īpašībām. ”
WannaCry kopē failus un izveido to šifrētās kopijas, jo ļaunprātīgai programmatūrai nav iespējams tieši šifrēt vai modificēt tikai lasāmus failus. Lai gan sākotnējie faili paliek neskarti, bet tiem tiek piešķirts “slēpts” atribūts, sākotnējo datu atgūšanai upuriem vienkārši ir jāatjauno viņu parastie atribūti.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Failu atkopšana no sistēmas diska (ti, C diska)
Pēc pētnieku domām, “svarīgās mapēs”, piemēram, mapē Darbvirsma vai Dokumenti, saglabātos failus nevar atgūt bez atšifrēšanas atslēgas, jo WannaCry ir paredzēts, lai pirms noņemšanas oriģinālos failus pārrakstītu ar nejaušiem datiem.
Tomēr pētnieki pamanīja, ka citus failus, kas tiek glabāti ārpus sistēmas diska “svarīgām mapēm”, var atjaunot no pagaidu mapes, izmantojot datu atkopšanas programmatūru.
“Ja fails tiek saglabāts ārpus“ svarīgām ”mapēm, tad sākotnējais fails tiks pārvietots uz% TEMP% \% d.WNCRYT (kur% d apzīmē skaitlisku vērtību). Šie faili satur sākotnējos datus un netiek pārrakstīti, tie tiek vienkārši izdzēsti no diska, kas nozīmē, ka pastāv liela iespēja, ka tos būs iespējams atjaunot, izmantojot datu atkopšanas programmatūru. ”
Failu atkopšana no nesistēmas diskdziņiem
Pēc pētnieku domām, nesistēmas diskiem WannaCry Ransomware izveido slēptu mapi $ RECYCLE, kas Windows File Explorer nav redzama, ja tai ir noklusējuma konfigurācija. Pēc tam ļaunprogrammatūra pēc šifrēšanas pārvieto oriģinālos failus uz šo direktoriju. Tomēr jūs varat atgūt šos failus, vienkārši paslēpjot mapi $ RECYCLE.
Arī “sinhronizācijas kļūdu” dēļ ransomware kodā daudzos gadījumos oriģinālie faili paliek vienā direktorijā un netiek pārvietoti uz $ RECYCLE, tādējādi upuriem ir iespējams atjaunot nedroši izdzēstos failus, izmantojot pieejamo datu atkopšanas programmatūru.
WannaCry Ransomware programmēšanas kļūdas:
Kaspersky Lab pētnieki ir atklājuši, ka šai izpirkumprogrammai ir kļūda tikai lasāmu failu apstrādē. Ja inficētajā mašīnā ir šādi faili, izpirkuma programmatūra tos nemaz nešifrēs. Tas izveidos tikai katra oriģināla faila šifrētu kopiju, savukārt paši oriģinālie faili saņem tikai “slēptās”Atribūts. Kad tas notiek, ir viegli tos atrast un atjaunot viņu parastos atribūtus.
- Atpirkšanas programmatūras izstrādātāji ir pieļāvuši daudz kļūdu, un koda kvalitāte ir ļoti zema.
- Ja jūs bijāt inficēts ar WannaCry ransomware, pastāv liela iespēja, ka jūs varēsiet atjaunot daudzus failus skartajā datorā.
- Lai atjaunotu failus, varat izmantot bezmaksas utilītus, kas pieejami failu atkopšanai.
Oriģinālais raksts avots
