Во месец мај 2017 година, WannaCry, рансомвер можеби предизвика хаос низ целиот свет кога погоди скоро 300,000 компјутери во 150 земји во рок од само 72 часа, но тоа не значи дека станува збор за висококвалитетно парче рансомвер. Да, безбедносни истражувачи во Лаборатории Касперски неодамна открија некои програмски грешки во кодот на црвот за откуп на WannaCrypt.
Овие грешки во програмирањето во кодот на откупниот софтвер WannaCrypt може да им дозволат на некои од неговите жртви да ги вратат нивните заклучени датотеки со јавно достапни бесплатни алатки за обновување или дури и со едноставни команди, без да плаќаат за кој било клуч за дешифрирање.
Антон Иванов, виш аналитичар за малициозен софтвер во лабораторијата Касперски, заедно со колегите Федор Синитсин и Орхан Мамедов, откако длабоко го истражуваа малициозниот софтвер, детално открија три клучни грешки направени од развивачите на WannaCry, што може да им овозможи на sysadmins да ги обноват потенцијално изгубените датотеки.
Според истражувачите, проблемот е во начинот на кој малициозниот софтвер ја извршува шифрирањето.
„Кога Wannacry ги криптира датотеките на својата жртва, чита од оригиналната датотека, ја криптира содржината и ја зачувува во датотеката со продолжение„ .WNCRYT “. По криптирањето, тој го преместува „.WNCRYT“ во „.WNCRY“ и ја брише оригиналната датотека. Оваа логика за бришење може да варира во зависност од локацијата и својствата на датотеките на жртвата “.
WannaCry ги копира датотеките и ги креира нивните шифрирани копии затоа што не е можно малициозен софтвер директно да ги криптира или менува датотеките само за читање. Додека оригиналните датотеки остануваат недопрени, но им се дава „скриен“ атрибут, враќањето на оригиналните податоци едноставно бара од жртвите да ги обноват своите нормални атрибути.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Враќање на датотеки од системскиот погон (т.е. уредот C)
Според истражувачите, датотеките зачувани во „важните папки“, како папката „Десктоп“ или „Документи“, не можат да се обноват без клучот за дешифрирање бидејќи WannaCry е дизајниран да ги пребрише оригиналните датотеки со случајни податоци пред да ги отстрани.
Сепак, истражувачите забележаа дека другите датотеки зачувани надвор од „важните папки“ на системскиот диск може да бидат вратени од привремената папка со помош на софтвер за враќање на податоците.
„Ако датотеката е зачувана надвор од„ важните “папки, тогаш оригиналната датотека ќе се премести во% TEMP% \% d.WNCRYT (каде% d означува нумеричка вредност). Овие датотеки ги содржат оригиналните податоци и не се пребришани, тие едноставно се бришат од дискот, што значи дека постои голема можност да бидат обновени со помош на софтвер за враќање на податоците. “
Враќање датотеки од несистемските драјвови
Според истражувачите, за несистемските дискови, WannaCry Ransomware создава скриена папка „$ RECYCLE“, која е невидлива во Windows File Explorer ако има стандардна конфигурација. После шифрирањето, малициозен софтвер пренесува оригинални датотеки во овој директориум. Сепак, можете да ги вратите тие датотеки само со прикривање на папката „$ RECYCLE“.
Исто така, поради „грешки во синхронизацијата“ во кодот за откуп, во многу случаи, оригиналните датотеки остануваат во истиот директориум и не се преместуваат во $ RECYCLE, што им овозможува на жртвите да ги обноват несигурно избришаните датотеки користејќи го достапниот софтвер за обновување на податоците.
Грешки во програмирањето на WannaCry Ransomware:
Истражувачите на Kaspersky Lab откриле дека овој рансомвер има грешка во обработката на датотеки само за читање. Ако има такви датотеки на заразената машина, тогаш откупниот софтвер воопшто нема да ги криптира. Createе создаде само шифрирана копија на секоја оригинална датотека, додека самите оригинални датотеки добиваат само „скриени”Атрибут. Кога тоа ќе се случи, едноставно е да ги пронајдете и да ги вратите нивните нормални атрибути.
- Програмерите на ransomware направија многу грешки и квалитетот на кодот е многу низок.
- Ако сте биле заразени со рансомвер WannaCry, постои добра можност да можете да вратите многу датотеки на засегнатиот компјутер.
- За да ги вратите датотеките, можете да ги користите бесплатните комунални услуги достапни за враќање на датотеките.
Оригинална статија извор
