मे 2017 मध्ये, WannaCry, एक ransomware अवघ्या 300,000 तासांत 150 देशांतील सुमारे 72 PCs वर आघात केल्यावर संपूर्ण जगात हाहाकार माजला असेल, परंतु याचा अर्थ असा नाही की तो रॅन्समवेअरचा उच्च-गुणवत्तेचा तुकडा होता. होय, येथे सुरक्षा संशोधक कॅस्परस्की लॅब नुकतेच WannaCrypt ransomware वर्मच्या कोडमध्ये काही प्रोग्रामिंग त्रुटी आढळल्या आहेत.
WannaCrypt ransomware च्या कोडमधील या प्रोग्रामिंग त्रुटींमुळे त्याचे काही बळी मिळू शकतात कोणत्याही डिक्रिप्शन कीसाठी पैसे न देता त्यांच्या लॉक केलेल्या फायली सार्वजनिकरीत्या उपलब्ध मोफत रिकव्हरी टूल्ससह किंवा अगदी साध्या कमांडसह रिस्टोअर करण्यासाठी.
Anton Ivanov, Kaspersky Lab मधील वरिष्ठ मालवेअर विश्लेषक, सहकारी Fedor Sinitsyn आणि Orkhan Mamedov सोबत, मालवेअरचे सखोल संशोधन केल्यानंतर, WannaCry डेव्हलपर्सनी केलेल्या तीन गंभीर त्रुटींचा तपशीलवार तपशील दिला आहे ज्यामुळे sysadmins ला संभाव्य हरवलेल्या फाईल्स रिस्टोअर करता येतात.
संशोधकांच्या मते, ही समस्या मालवेअर ज्या प्रकारे एन्क्रिप्शन करते त्यामध्ये आहे.
“जेव्हा Wannacry त्याच्या पीडिताच्या फाइल्स एनक्रिप्ट करते, तेव्हा ते मूळ फाइलमधून वाचते, सामग्री एन्क्रिप्ट करते आणि “.WNCRYT” विस्तारासह फाइलमध्ये सेव्ह करते. एनक्रिप्शननंतर ते “.WNCRYT” ला “.WNCRY” मध्ये हलवते आणि मूळ फाईल हटवते. हे हटवण्याचे तर्क पीडिताच्या फायलींचे स्थान आणि गुणधर्मांवर अवलंबून बदलू शकतात.
WannaCry फाइल्स कॉपी करते आणि त्यांच्या एन्क्रिप्टेड कॉपी तयार करते कारण दुर्भावनायुक्त सॉफ्टवेअरला केवळ-वाचनीय फाइल्स थेट एनक्रिप्ट करणे किंवा सुधारणे शक्य नसते. मूळ फाइल्स अस्पर्शित राहतात परंतु त्यांना 'लपलेले' गुणधर्म दिले जातात, मूळ डेटा परत मिळविण्यासाठी पीडितांना त्यांचे सामान्य गुणधर्म पुनर्संचयित करणे आवश्यक असते.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
सिस्टम ड्राइव्ह (म्हणजे C ड्राइव्ह) वरून फायली पुनर्प्राप्त करणे
संशोधकांच्या मते, डेस्कटॉप किंवा दस्तऐवज फोल्डर सारख्या 'महत्त्वाच्या फोल्डर्स'मध्ये संग्रहित केलेल्या फाईल्स, डिक्रिप्शन कीशिवाय पुनर्प्राप्त केल्या जाऊ शकत नाहीत कारण WannaCry ची रचना मूळ फाइल्स यादृच्छिक डेटासह ओव्हरराइट करण्यासाठी काढली गेली आहे.
तथापि, संशोधकांच्या लक्षात आले की सिस्टम ड्राइव्हवरील 'महत्त्वाच्या फोल्डर्स'च्या बाहेर संग्रहित केलेल्या इतर फायली डेटा रिकव्हरी सॉफ्टवेअर वापरून तात्पुरत्या फोल्डरमधून पुनर्संचयित केल्या जाऊ शकतात.
जर फाइल 'महत्त्वाच्या' फोल्डर्सच्या बाहेर संग्रहित केली असेल, तर मूळ फाइल %TEMP%\%d.WNCRYT वर हलवली जाईल (जेथे %d अंकीय मूल्य दर्शवते). या फायलींमध्ये मूळ डेटा असतो आणि त्या ओव्हरराईट केल्या जात नाहीत, त्या फक्त डिस्कवरून हटवल्या जातात, याचा अर्थ डेटा रिकव्हरी सॉफ्टवेअर वापरून त्या रिस्टोअर करण्याची दाट शक्यता असते.”
नॉन-सिस्टम ड्राइव्हवरून फायली पुनर्प्राप्त करणे
संशोधकांच्या मते, नॉन-सिस्टम ड्राईव्हसाठी, WannaCry Ransomware एक लपविलेले '$RECYCLE' फोल्डर तयार करते, जे Windows File Explorer मध्ये डिफॉल्ट कॉन्फिगरेशन असल्यास अदृश्य होते. मालवेअर नंतर एन्क्रिप्शननंतर मूळ फाइल्स या निर्देशिकेत हलवते. तथापि, तुम्ही फक्त '$RECYCLE' फोल्डर लपवून त्या फाइल्स पुनर्प्राप्त करू शकता.
तसेच, रॅन्समवेअर कोडमधील "सिंक्रोनाइझेशन एरर" मुळे, अनेक प्रकरणांमध्ये मूळ फाइल्स त्याच निर्देशिकेत राहतात आणि $RECYCLE मध्ये हलवल्या जात नाहीत, ज्यामुळे पीडितांना उपलब्ध डेटा रिकव्हरी सॉफ्टवेअर वापरून असुरक्षितपणे हटवलेल्या फाइल्स रिस्टोअर करणे शक्य होते.
WannaCry Ransomware प्रोग्रामिंग त्रुटी:
कॅस्परस्की लॅबच्या संशोधकांनी शोधून काढले आहे की या रॅन्समवेअरच्या केवळ-वाचनीय फाइल प्रक्रियेत एक बग आहे. संक्रमित मशीनवर अशा फाइल्स असल्यास, रॅन्समवेअर त्यांना अजिबात कूटबद्ध करणार नाही. ते प्रत्येक मूळ फाइलची फक्त एक एनक्रिप्टेड प्रत तयार करेल, तर मूळ फाइल्सना फक्त "लपलेले"विशेषता. जेव्हा हे घडते, तेव्हा त्यांना शोधणे आणि त्यांचे सामान्य गुणधर्म पुनर्संचयित करणे सोपे आहे.
- रॅन्समवेअर विकसकांनी खूप चुका केल्या आहेत आणि कोडची गुणवत्ता खूप कमी आहे.
- जर तुम्हाला WannaCry ransomware ची लागण झाली असेल, तर तुम्ही प्रभावित संगणकावरील बर्याच फाइल्स रिस्टोअर करू शकाल अशी चांगली शक्यता आहे.
- फायली पुनर्संचयित करण्यासाठी, आपण फाइल पुनर्प्राप्तीसाठी उपलब्ध असलेल्या विनामूल्य उपयुक्तता वापरू शकता.
मूळ लेख स्रोत
