မေလလတွင်၊ WannaCry, တစ် ဦး ransomware ၇၂ နာရီအတွင်းနိုင်ငံပေါင်း ၁၅၀ ရှိကွန်ပျူတာ ၃၀၀၀၀၀ နီးပါးကိုထိမိသောအခါကမ္ဘာတစ်ဝှမ်း၌အကြီးအကျယ်ပျက်စီးစေခဲ့နိုင်သော်လည်း၎င်းသည်အရည်အသွေးမြင့်သော ransomware အစိတ်အပိုင်းဟုမဆိုလိုပါ။ ဟုတ်ပါတယ်၊ လုံခြုံရေးသုတေသီများမှာ Kaspersky ဓာတ်ခွဲခန်း မကြာသေးမီက WannaCrypt ransomware worm ၏ကုဒ်တွင်အချို့သောပရိုဂရမ်အမှားများကိုတွေ့ရှိခဲ့သည်။
ဤပရိုဂရမ်အမှားများသည် WannaCrypt ransomware ၏ code တွင်၎င်းအားသားကောင်များကိုခွင့်ပြုနိုင်သည် သော့ခတ်ထားသောဖိုင်များကိုအများဆိုင်ရရှိနိုင်သည့်အခမဲ့ပြန်လည်ဆယ်တင်ရေးကိရိယာများ (သို့) ရိုးရှင်းသော command များဖြင့်ပြန်လည်အသုံးပြုရန်၊
Kaspersky Lab မှအကြီးတန်း malware လေ့လာဆန်းစစ်သူ Anton Ivanov နှင့်လုပ်ဖော်ကိုင်ဖက်များ Fedor Sinitsyn နှင့် Orkhan Mamedov တို့သည် malware ကိုနက်နက်ရှိုင်းရှိုင်းလေ့လာပြီးနောက် Sysadmins အားဆုံးရှုံးနိုင်သည့်ဖိုင်များကိုပြန်လည်ထူထောင်ရန်ခွင့်ပြုသည့်အရေးကြီးသောအမှားသုံးခုကိုအသေးစိတ်ဖော်ပြခဲ့သည်။
သုတေသီများအဆိုအရအဆိုပါပြissueနာ malware ကို encryption ကိုထုတ်သယ်ဆောင်လမ်းအတွက်ဖြေရှင်းရန်။
Wannacry သည်၎င်း၏သားကောင်၏ဖိုင်များကို encrypt သောအခါမူရင်းဖိုင်မှဖတ်ပြီးအကြောင်းအရာကို encrypt လုပ်ပြီး '.WNCRYT' extension ဖြင့်ဖိုင်ထဲသို့သိမ်းသည်။ စာဝှက်ပြီးနောက်“ .WNCRYT” ကို“ .WNCRY” သို့ရွှေ့ပြီးမူလဖိုင်ကိုဖျက်ပစ်သည်။ ဒီဖျက်သိမ်းရေးယုတ္တိဗေဒသားကောင်ရဲ့ဖိုင်များ၏တည်နေရာနှင့်ဂုဏ်သတ္တိများပေါ်မူတည်။ ကွဲပြားနိုင်ပါသည်။ "
WannaCry သည်ဖိုင်များကိုကူးယူပြီးစာဝှက်ထားသောမိတ္တူများကိုဖန်တီးသည်။ အန္တရာယ်ရှိသောဆော့ (ဖ်) ဝဲသည်ဖတ်ရန်အတွက်သာဖိုင်များကိုတိုက်ရိုက်စာဝှက်ရန်သို့မဟုတ်ပြုပြင်ရန်မဖြစ်နိုင်သောကြောင့်ဖြစ်သည်။ မူရင်းဖိုင်များသည်ထိတွေ့မှုမရှိသေးသော်လည်းသိုဝှက်ထားသော attribute တစ်ခုရရှိထားသော်လည်းမူရင်းဒေတာများကိုပြန်လည်ရယူရန်သားကောင်များသည်၎င်းတို့၏ပုံမှန် attribute များကိုပြန်လည်ရယူရန်လိုအပ်သည်။
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
System Drive မှဖိုင်များကိုပြန်လည်ရယူခြင်း (ဥပမာ C drive)
သုတေသီများအဆိုအရ 'အရေးကြီးသောဖိုင်တွဲများ' တွင်သိမ်းဆည်းထားသော Desktop (သို့) Documents ဖိုင်တွဲများ၌သိမ်းဆည်းထားသောဖိုင်များကိုစာဝှက်ဖြည်သော့မပါဘဲပြန်မရရှိနိုင်ပါ။ အဘယ်ကြောင့်ဆိုသော် WannaCry သည်မူလဖိုင်များကိုကျပန်းဒေတာများဖြင့်ဖျက်သိမ်းရန်ဒီဇိုင်းပြုလုပ်ထားသည်။
သို့သော်သုတေသီများက system drive ရှိ 'အရေးကြီးသောဖိုင်တွဲများ' ပြင်ပ၌သိမ်းဆည်းထားသောအခြားဖိုင်များအားဒေတာဆယ်တင်ရေးဆော့ဝဲလ်ဖြင့်ယာယီဖိုင်တွဲမှပြန်လည်ထားရှိနိုင်ကြောင်းသတိပြုမိကြသည်။
အကယ်၍ ဖိုင်ကို 'အရေးကြီးသော' ဖိုင်တွဲများပြင်ပ၌သိမ်းဆည်းထားပါကမူလဖိုင်ကို% TEMP% \% d.WNCRYT (% d ကိန်းဂဏန်းတန်ဖိုးကိုဖော်ပြသည်) သို့ရွှေ့ပြောင်းလိမ့်မည်။ ဤဖိုင်များတွင်မူရင်းဒေတာများပါ ၀ င်ပြီးပြန်လည်ရေးသားခြင်းမပြုရ။ ၎င်းတို့အား disk မှဖျက်လိုက်ရုံသာဖြစ်သည်။ ဆိုလိုသည်မှာ၎င်းတို့အားဒေတာဆယ်တင်ရေးဆော့ဖ်ဝဲလ်ဖြင့်ပြန်ယူရန်ဖြစ်နိုင်ချေရှိသည်။
Non-System Drives မှဖိုင်များကိုပြန်လည်ရယူခြင်း
သုတေသီများကပြောကြားသည်မှာ system မဟုတ်သော drives များအတွက် WannaCry Ransomware သည်လျှို့ဝှက် '$ RECYCLE' ဖိုလ်ဒါတစ်ခုကိုဖန်တီးသည်။ ၎င်းသည်ပုံမှန်ဖိုင်ရှိလျှင် Windows File Explorer တွင်မမြင်နိုင်ပါ။ ထိုအခါ malware ထို့နောက် encryption ကိုပြီးနောက်မူရင်းဖိုင်များကိုဤ directory ထဲသို့ရွှေ့။ သို့သော် '$ RECYCLE' ဖိုလ်ဒါကိုဖျောက်ထားရုံဖြင့်ထိုဖိုင်များကိုပြန်လည်ရယူနိုင်သည်။
ထို့အပြင် ransomware ကုဒ်ရှိ“ ထပ်တူပြုခြင်းအမှားများ” ကြောင့်များသောအားဖြင့်မူရင်းဖိုင်များသည်တူညီသောလမ်းညွှန်တွင်ရှိနေပြီး၊ $ RECYCLE သို့ပြောင်းရွှေ့ခြင်းမရှိသောကြောင့်သားကောင်များအတွက်ရရှိနိုင်သည့်ဒေတာပြန်လည်ဆယ်တင်ရေးဆော့ဖ်ဝဲကို အသုံးပြု၍ မလုံခြုံစွာပယ်ဖျက်ထားသောဖိုင်များကိုပြန်လည်ရယူနိုင်သည်။
WannaCry Ransomware ပရိုဂရမ်အမှားများ -
Kaspersky Lab မှသုတေသီများကဤ ransomware သည်ဖတ်ရန်တစ်ခုတည်းသော file processing အတွက် bug တစ်ခုရှိသည်ဟုရှာဖွေတွေ့ရှိခဲ့သည်။ ကူးစက်ခံရတဲ့စက်မှာအဲဒီလိုဖိုင်တွေရှိနေရင် ransomware ကသူတို့ကိုလုံး ၀ စာဝှက်ထားမှာမဟုတ်ဘူး။ ၎င်းသည်မူရင်းဖိုင်တစ်ခုစီ၏စာဝှက်ထားသောမိတ္တူတစ်ခုသာဖန်တီးလိမ့်မည်။hidden"attribute ။ ဒီလိုဖြစ်တဲ့အခါ၊ သူတို့ကိုရှာပြီးသူတို့ရဲ့ပုံမှန် attribute တွေကို restore ပြန်လုပ်ဖို့လွယ်ကူပါတယ်။
- ransomware developer များသည်အမှားအယွင်းများစွာပြုလုပ်ခဲ့ပြီး code အရည်အသွေးသည်အလွန်နိမ့်သည်။
- အကယ်၍ သင်သည် WannaCry ransomware နှင့်ကူးစက်ခံထားရလျှင်၎င်းသည်ထိခိုက်နစ်နာသောကွန်ပျူတာပေါ်ရှိဖိုင်များစွာကိုသင်ပြန်ထားနိုင်ကောင်းဖြစ်နိုင်သည်။
- ဖိုင်များကိုပြန်ယူရန်၊ ဖိုင်ပြန်လည်နာလန်ထူရေးအတွက်ရရှိနိုင်သောအခမဲ့အသုံးအဆောင်များကိုသင်အသုံးပြုနိုင်သည်။
မူရင်းဆောင်းပါး အရင်းအမြစ်
