Fix-xahar ta 'Mejju 2017, WannaCry, ransomware setgħet ikkawżat havoc mad-dinja kollha meta laqat kważi 300,000 PC f'150 pajjiż fi żmien 72 siegħa biss, iżda dan ma jfissirx li kienet biċċa ta 'kwalità għolja ta' ransomware. Iva, riċerkaturi tas-sigurtà fi Laboratorji Kaspersky dan l-aħħar skoprew xi żbalji ta 'programmazzjoni fil-kodiċi tad-dudu ransomware WannaCrypt.
Dawn l-iżbalji tal-ipprogrammar fil-kodiċi tar-ransomware WannaCrypt jistgħu jippermettu lil uħud mill-vittmi tagħha biex jirrestawraw il-fajls imsakkra tagħhom b'għodda ta 'rkupru b'xejn disponibbli pubblikament jew saħansitra b'kmandi sempliċi, mingħajr ma jħallsu għal xi ċavetta ta' dekifrar.
Anton Ivanov, analista anzjan tal-malware fil-Kaspersky Lab, flimkien mal-kollegi Fedor Sinitsyn u Orkhan Mamedov, wara li għamlu riċerka profonda fuq il-malware, iddettaljaw tliet żbalji kritiċi magħmula mill-iżviluppaturi tal-WannaCry li jistgħu jippermettu lis-sysadmins jirrestawraw fajls potenzjalment mitlufa.
Skond ir-riċerkaturi, il-kwistjoni tirrisjedi fil-mod kif il-malware iwettaq l-iċċifrar.
"Meta Wannacry tikkripta l-fajls tal-vittma tagħha, taqra mill-fajl oriġinali, tikkripta l-kontenut u tissejvjah fil-fajl bl-estensjoni" .WNCRYT ". Wara l-iċċifrar timxi “.WNCRYT” għal “.WNCRY” u tħassar il-fajl oriġinali. Din il-loġika ta 'tħassir tista' tvarja skond il-post u l-proprjetajiet tal-fajls tal-vittma. "
WannaCry tikkopja l-fajls u toħloq il-kopji kriptati tagħhom minħabba li mhuwiex possibbli għal softwer malizzjuż li jikkodifika direttament jew jimmodifika fajls li jinqraw biss. Filwaqt li l-fajls oriġinali jibqgħu mhux mittiefsa iżda jingħataw attribut 'moħbi', li terġa 'tinkiseb id-dejta oriġinali sempliċement teħtieġ li l-vittmi jirrestawraw l-attributi normali tagħhom.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Irkupru ta 'Fajls mid-Drive tas-Sistema (jiġifieri drive C)
Skond ir-riċerkaturi, fajls maħżuna fil-'folders importanti ', bħall-fowlder tad-Desktop jew Dokumenti, ma jistgħux jiġu rkuprati mingħajr iċ-ċavetta tad-dekifrar minħabba li WannaCry ġiet iddisinjata biex tinkiteb fajls oriġinali b'dejta każwali qabel ma titneħħa.
Madankollu, ir-riċerkaturi nnutaw li fajls oħra maħżuna barra minn 'folders importanti' fuq is-sistema drive jistgħu jiġu restawrati mill-folder temporanju bl-użu ta 'softwer ta' rkupru tad-data.
“Jekk il-fajl jinħażen barra mill-fowlders 'importanti', allura l-fajl oriġinali jitmexxa għal% TEMP% \% d.WNCRYT (fejn% d jindika valur numeriku). Dawn il-fajls fihom id-dejta oriġinali u mhumiex miktuba fuqhom, huma sempliċement imħassra mid-diska, li jfisser li hemm ċans kbir li jkun possibbli li jiġu restawrati bl-użu ta 'softwer għall-irkupru tad-dejta. "
Irkupru ta 'Fajls mid-Drives Mhux tas-Sistema
Skond ir-riċerkaturi, għal drives mhux tas-sistema, il-WannaCry Ransomware joħloq folder moħbi '$ RECYCLE', li huwa inviżibbli fil-Windows File Explorer jekk ikollu konfigurazzjoni default. Il-malware imbagħad iċċaqlaq il-fajls oriġinali f'dan id-direttorju wara l-iċċifrar. Madankollu, tista 'tirkupra dawk il-fajls sempliċement billi toħroġ il-folder' $ RECYCLE '.
Ukoll, minħabba "żbalji ta 'sinkronizzazzjoni" fil-kodiċi tar-ransomware, f'ħafna każijiet il-fajls oriġinali jibqgħu fl-istess direttorju u mhumiex imċaqilqa għal $ RECYCLE, li jagħmilha possibbli għall-vittmi li jirrestawraw fajls imħassra b'mod mhux sikur billi jużaw softwer ta' rkupru tad-dejta disponibbli.
Żbalji ta 'Programmar ta' WannaCry Ransomware:
Ir-riċerkaturi tal-Kaspersky Lab skoprew li dan ir-ransomware għandu bug fl-ipproċessar tal-fajl tiegħu li jinqara biss. Jekk hemm dawn il-fajls fuq il-magna infettata, allura r-ransomware ma jikkriptahom xejn. Se toħloq biss kopja kriptata ta 'kull fajl oriġinali, filwaqt li l-fajls oriġinali nfushom jiksbu biss il- "moħbija”Attribut. Meta jiġri dan, huwa sempliċi li ssibhom u tirrestawra l-attributi normali tagħhom.
- L-iżviluppaturi tar-ransomware għamlu ħafna żbalji u l-kwalità tal-kodiċi hija baxxa ħafna.
- Jekk ġejt infettat bir-ransomware WannaCry, hemm possibbiltà tajba li tkun kapaċi tirrestawra ħafna mill-fajls fuq il-kompjuter affettwat.
- Biex tirrestawra l-fajls, tista 'tuża l-utilitajiet b'xejn disponibbli għall-irkupru tal-fajls.
Oġġett oriġinali sors
