Pada bulan Mei 2017, WannaCry, perisian tebusan mungkin telah menyebabkan malapetaka di seluruh dunia ketika menghantam hampir 300,000 PC di 150 negara hanya dalam 72 jam, tetapi itu tidak bermaksud itu adalah alat ransomware berkualiti tinggi. Ya, penyelidik keselamatan di Makmal Kaspersky baru-baru ini menemui beberapa kesalahan pengaturcaraan dalam kod worm ransomware WannaCrypt.
Kesalahan pengaturcaraan ini dalam kod ransomware WannaCrypt dapat memungkinkan beberapa korbannya untuk memulihkan fail mereka yang dikunci dengan alat pemulihan percuma yang tersedia untuk umum atau bahkan dengan perintah mudah, tanpa membayar kunci penyahsulitan.
Anton Ivanov, penganalisis perisian hasad kanan di Kaspersky Lab, bersama rakannya Fedor Sinitsyn dan Orkhan Mamedov, setelah meneliti perisian hasad tersebut secara mendalam, telah memperincikan tiga kesalahan kritikal yang dibuat oleh pembangun WannaCry yang membolehkan sysadmin memulihkan fail yang berpotensi hilang.
Menurut para penyelidik, masalah ini terletak pada cara malware menjalankan penyulitan.
"Apabila Wannacry mengenkripsi fail korbannya, ia membaca dari fail asalnya, mengenkripsi kandungan dan menyimpannya ke dalam fail dengan sambungan" .WNCRYT ". Selepas enkripsi, ia memindahkan ".WNCRYT" ke ".WNCRY" dan menghapus fail asalnya. Logik penghapusan ini mungkin berbeza-beza bergantung pada lokasi dan sifat fail mangsa. "
WannaCry menyalin fail dan membuat salinannya yang disulitkan kerana tidak mungkin bagi perisian hasad untuk menyulitkan atau mengubahsuai fail hanya baca secara langsung. Walaupun fail asalnya tetap tidak tersentuh tetapi diberi atribut 'tersembunyi', mendapatkan kembali data asalnya hanya memerlukan mangsa mengembalikan atribut normal mereka.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Memulihkan Fail dari Pemacu Sistem (iaitu pemacu C)
Menurut penyelidik, fail yang disimpan dalam 'folder penting', seperti folder Desktop atau Dokumen, tidak dapat dipulihkan tanpa kunci penyahsulitan kerana WannaCry telah dirancang untuk menimpa fail asli dengan data rawak sebelum dikeluarkan.
Walau bagaimanapun, para penyelidik menyedari bahawa fail lain yang disimpan di luar 'folder penting' pada pemacu sistem dapat dipulihkan dari folder sementara menggunakan perisian pemulihan data.
"Sekiranya fail disimpan di luar folder 'penting', maka fail asalnya akan dipindahkan ke% TEMP% \% d.WNCRYT (di mana% d menunjukkan nilai angka). Fail-fail ini mengandungi data asli dan tidak ditimpa, hanya dihapus dari cakera, yang bermaksud ada kemungkinan besar untuk memulihkannya menggunakan perisian pemulihan data. "
Memulihkan Fail dari Pemacu Bukan Sistem
Menurut penyelidik, untuk pemacu bukan sistem, WannaCry Ransomware membuat folder '$ RECYCLE' tersembunyi, yang tidak dapat dilihat dalam Windows File Explorer jika ia mempunyai konfigurasi lalai. Malware kemudian memindahkan fail asli ke direktori ini setelah penyulitan. Walau bagaimanapun, anda boleh memulihkan fail tersebut hanya dengan membuka folder '$ RECYCLE'.
Juga, karena "kesalahan sinkronisasi" dalam kod ransomware, dalam banyak kasus file aslinya tetap di direktori yang sama dan tidak dipindahkan ke $ RECYCLE, sehingga memungkinkan para korban untuk memulihkan fail yang dihapus dengan tidak selamat menggunakan perisian pemulihan data yang tersedia.
Kesalahan Pengaturcaraan WannaCry Ransomware:
Penyelidik Kaspersky Lab telah menemui bahawa ransomware ini mempunyai bug dalam pemprosesan fail hanya baca. Sekiranya terdapat fail seperti itu pada mesin yang dijangkiti, maka ransomware tidak akan menyulitkannya sama sekali. Ia hanya akan membuat salinan yang dienkripsi dari setiap fail asal, sementara fail asalnya sendiri hanya mendapat "tersembunyiAtribut. Apabila ini berlaku, mudah untuk mencarinya dan memulihkan sifat normal mereka.
- Pembangun ransomware telah membuat banyak kesilapan dan kualiti kodnya sangat rendah.
- Sekiranya anda dijangkiti ransomware WannaCry, ada kemungkinan anda dapat memulihkan banyak fail pada komputer yang terjejas.
- Untuk memulihkan fail, anda boleh menggunakan utiliti percuma yang tersedia untuk pemulihan fail.
Artikel asal sumber
