2017 оны XNUMX-р сард, WannaCry, золиосны програм Энэ нь ердөө 300,000 цагийн дотор 150 орны 72 орчим компьютерийг цохисноор дэлхийн өнцөг булан бүрт сүйрэл үүсгэсэн байж болох юм, гэхдээ энэ нь өндөр чанарын ransomware байсан гэсэн үг биш юм. Тиймээ, аюулгүй байдлын судлаачид Касперскийн лабораторууд WannaCrypt ransomware worm-ийн кодоос програмчлалын зарим алдааг саяхан олж мэдсэн.
WannaCrypt ransomware-ийн код дээрх эдгээр програмчлалын алдаанууд нь зарим хохирогчдыг зөвшөөрч болзошгүй юм түгжигдсэн файлуудаа олон нийтэд нээлттэй үнэгүй сэргээх хэрэгслээр эсвэл энгийн тушаалаар сэргээх боломжтой.
Касперскийн лабораторийн хортой програмын ахлах шинжээч Антон Иванов, хамтран ажиллагсад Федор Синицын, Орхан Мамедов нарын хамт хортой програмыг гүнзгий судалсны дараа WannaCry програмыг боловсруулагчид гаргасан гурван чухал алдааг нарийвчлан гаргаж, sysadmins-д алдагдаж болзошгүй файлуудыг сэргээх боломжийг олгожээ.
Судлаачдын үзэж байгаагаар энэ асуудал нь хортой програмын шифрлэлтийг хэрэгжүүлэх арга хэлбэрт оршиж байгаа юм.
“Wannacry нь хохирогчийнхоо файлуудыг шифрлэхдээ эх файлаас уншиж, агуулгыг нь шифрлээд“ .WNCRYT ”өргөтгөлтэй файлд хадгалдаг. Шифрлэлт хийсний дараа ".WNCRYT" -ийг ".WNCRY" болгож шилжүүлж эх файлыг устгана. Энэхүү устгах логик нь хохирогчийн файлын байршил, шинж чанараас хамаарч өөр өөр байж болно. ”
WannaCry файлыг хуулж, тэдгээрийн шифрлэгдсэн хуулбарыг үүсгэдэг тул хортой програм хангамжийг шууд унших боломжтой файлуудыг шууд шифрлэх, өөрчлөх боломжгүй байдаг. Анхны файлууд нь хөндөгдөөгүй хэвээр байгаа боловч "далд" шинж чанарыг өгдөг боловч анхны өгөгдлийг буцааж авах нь хохирогчдоос ердийн шинж чанаруудаа сэргээхийг шаарддаг.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Системийн драйваас файлуудыг сэргээх (өөрөөр хэлбэл C диск)
Судлаачдын үзэж байгаагаар Desktop эсвэл Documents хавтас гэх мэт 'чухал фолдерууд' дотор хадгалагдсан файлуудыг шифр тайлах түлхүүргүйгээр сэргээх боломжгүй юм.
Гэсэн хэдий ч судлаачид системийн драйвер дээрх 'чухал фолдеруудаас' гадна хадгалагдсан бусад файлуудыг өгөгдлийг сэргээх програмыг ашиглан түр зуурын хавтаснаас сэргээж болохыг анзаарсан.
"Хэрэв файлыг" чухал "фолдерын гадна хадгалсан бол анхны файлыг% TEMP% \% d.WNCRYT руу шилжүүлнэ (энд% d нь тоон утгыг илэрхийлнэ). Эдгээр файлууд нь анхны өгөгдлийг агуулдаг бөгөөд тэдгээрийг бичдэггүй, зүгээр л дискнээс устгадаг тул энэ нь өгөгдлийг сэргээх програмыг ашиглан сэргээх боломжтой гэсэн үг юм. ”
Системийн бус драйверуудаас файлуудыг сэргээх
Судлаачдын үзэж байгаагаар системийн бус драйверуудын хувьд WannaCry Ransomware нь нууцлагдсан '$ RECYCLE' хавтас үүсгэдэг бөгөөд хэрэв энэ нь анхдагч тохиргоотой бол Windows File Explorer дээр харагдахгүй болно. Үүний дараа хортой програм нь шифрлэлт хийсний дараа анхны файлуудыг энэ директор руу зөөнө. Гэхдээ та '$ RECYCLE' фолдерыг нээгээд л эдгээр файлуудыг сэргээх боломжтой.
Мөн ransomware кодонд орсон "синхрончлолын алдаа" -гийн улмаас ихэнх тохиолдолд эх файлууд нь нэг директор дотор хадгалагдаж $ RECYCLE руу зөөгдөөгүй тул хохирогчид байгаа өгөгдлийг сэргээх програмыг ашиглан найдваргүй устгасан файлуудыг сэргээх боломжтой болгодог.
WannaCry Ransomware програмчлалын алдаа:
Касперскийн лабораторийн судлаачид энэхүү ransomware програмыг зөвхөн унших файл боловсруулахад алдаа гарсныг олж мэджээ. Хэрэв халдвар авсан машин дээр ийм файл байгаа бол ransomware нь тэдгээрийг огт шифрлэхгүй. Энэ нь зөвхөн эх файл бүрийн шифрлэгдсэн хуулбарыг үүсгэх бөгөөд харин эх файлууд өөрсдөө зөвхөн "далд"Шинж чанар. Ийм зүйл тохиолдоход тэдгээрийг олж, хэвийн шинж чанаруудыг нь сэргээх нь энгийн зүйл юм.
- Ransomware хөгжүүлэгчид маш их алдаа гаргасан бөгөөд кодын чанар маш муу байна.
- Хэрэв та WannaCry ransomware-т халдвар авсан бол нөлөөлөлд өртсөн компьютер дээрх олон файлыг сэргээх боломжтой байх магадлалтай.
- Файлуудыг сэргээхийн тулд та файл сэргээх боломжтой үнэгүй хэрэгслүүдийг ашиглаж болно.
Эх нийтлэл эх үүсвэр
