मे २०१ 2017 मा, WannaCry, एक ransomware यो केवल 300,000२ घण्टामा १ 150० देशहरुमा करीव ,72००,००० पीसीहरुमा हिर्काउँदा सम्पूर्ण विश्वमा विनाश भएको हुन सक्छ, तर यसको मतलब यो ransomware को एक उच्च-गुणको टुक्रा थिएन। हो, मा सुरक्षा अनुसन्धानकर्ताहरु कास्परपर्की प्रयोगशालाहरू WannaCrypt ransomware वर्मको कोडमा भर्खरै केही प्रोग्रामिंग त्रुटिहरू पत्ता लगाए।
WannaCrypt ransomware को कोडमा यी प्रोग्रामिंग त्रुटिहरूले आफ्ना पीडितहरूलाई केहि अनुमति दिन सक्दछन् सार्वजनिक रूपमा उपलब्ध नि: शुल्क रिकभरी उपकरणहरू वा साधारण आदेशहरूको साथ, कुनै डिक्रिप्शन कुञ्जीको लागि भुक्तान नगरी तिनीहरूको लक गरिएका फाइलहरू पुनः भण्डारण गर्न।
कास्परपर्की ल्याबका वरिष्ठ मालवेयर विश्लेषक एन्टोन इभानोभ र साथीहरु फेडर सिनिटसेन र अर्खान मामेडोभले मालवेयरको गहन अध्ययन गरेपछि वानाक्र्या डेवलपर्सले गरेका तीन गंभीर त्रुटिहरूको विस्तृत विवरण छ जसले सिस्याडमिनलाई सम्भावित हराएको फाईलहरू पुनर्स्थापना गर्न अनुमति दिन सक्छ।
अन्वेषकहरुका अनुसार यो मुद्दा मालवेयरले ईन्क्रिप्शन बोक्ने तरीकामा रहन्छ।
"जब वान्याक्र्याले यसको शिकार भएका फाईलहरू गुप्तिकरण गर्दछ, यसले मूल फाइलबाट पढ्दछ, सामग्रीलाई गुप्तिकरण गर्दछ र यसलाई विस्तारित फाइलमा" .WNCRYT "मा बचत गर्दछ। ईन्क्रिप्शन पछि यो ".WNCRYT" लाई ".WNCRY" मा सारिन्छ र मूल फाइल हटाउँछ। यो मेटाउने तर्क पीडितको फाईलहरूको स्थान र सम्पत्तीमा निर्भर हुन सक्छ। "
WannaCry फाइलहरू प्रतिलिपि गर्दछ र तिनीहरूको एन्क्रिप्टेड प्रतिलिपिहरू सिर्जना गर्दछ किनभने यो खराब सफ्टवेयरको लागि सीधा ईन्क्रिप्ट गर्न वा पढ्ने-मात्र फाइलहरू परिमार्जन गर्न सम्भव छैन। जबकि मूल फाइलहरू अछूता रहन्छन् तर एक 'लुकेको' एट्रिब्यूट दिइन्छ, मूल डाटा फिर्ता पाउनका लागि पीडितको सामान्य गुणहरू पुनर्स्थापित गर्न सजिलो हुन्छ।
विन्डोज,, एक्सपी, on मा WannaCrypt Ransomware ब्याकडोर कसरी फिक्स गर्ने
प्रणाली ड्राइवबाट फाइलहरू पुन: प्राप्ति गर्दै (जस्तै सी ड्राइभ)
अन्वेषकहरूका अनुसार, 'महत्त्वपूर्ण फोल्डरहरू' मा भण्डारण गरिएका फाइलहरू, जस्तै डेस्कटप वा कागजात फोल्डरहरू, डिक्रिप्शन कुञ्जी बिना रिकभर गर्न सकिँदैन किनभने WannaCry हटाउनु अघि अनियमित डाटाको साथ मूल फाइलहरूलाई अधिलेखन गर्न डिजाइन गरिएको थियो।

जहाँसम्म, अन्वेषकहरूले याद गरे कि अन्य फाइलहरू यस प्रणाली ड्राइभमा 'महत्त्वपूर्ण फोल्डरहरू' भन्दा बाहिर भण्डार गरिएको थियो र डाटा रिकभरी सफ्टवेयर प्रयोग गरेर अस्थायी फोल्डरबाट पुनः भण्डारण गर्न सकिन्छ।
"यदि फाईल 'महत्त्वपूर्ण' फोल्डर बाहिर भण्डारण गरिएको छ भने मूल फाइल% TEMP% \% d.WNCRYT मा सारिनेछ (जहाँ% d संख्यात्मक मान दर्साउँछ)। यी फाईलहरूले मूल डाटा समावेश गर्दछ र अधिलेखन गर्दैन, ती केवल डिस्कबाट हटाइन्छ, जसको अर्थ त्यहाँ उच्च संभावना छ कि डाटा रिकभरी सफ्टवेयर प्रयोग गरेर उनीहरूलाई पुनर्स्थापना गर्न सम्भव हुनेछ। "
गैर-प्रणाली ड्राइभबाट फाईलहरू पुन: प्राप्ति गर्दै
अन्वेषकहरूका अनुसार, गैर-प्रणाली ड्राइभहरूको लागि, WannaCry Ransomware ले लुकेको '$ RECYCLE' फोल्डर सिर्जना गर्दछ, जुन विन्डोज फाइल एक्सप्लोररमा अदृश्य हुन्छ यदि यसको पूर्वनिर्धारित कन्फिगरेसन छ भने। मालवेयरले यस फाइलमा एन्क्रिप्शन पछि मूल फाइलहरू सार्दछ। यद्यपि तपाईले ती फाईलहरू रिकभर गर्न सक्नुहुन्छ 'EC RECYCLE' फोल्डर।

रन्समवेयर कोडमा "सिnch्क्रोनाइजेसन त्रुटिहरू" को कारणले गर्दा, धेरै जसो मौलिक फाइलहरू समान डाइरेक्टरीमा रहन्छन् र EC RECYCLE मा सारिदैनन्, जसले पीडितहरूलाई उपलब्ध डाटा रिकभरी सफ्टवेयरको प्रयोग गरेर असुरक्षित रूपमा मेटाइएको फाइलहरू पुन: भण्डारण गर्न सम्भव बनाउँदछ।
WannaCry Ransomware प्रोग्रामिंग त्रुटि:
कास्परपर्की प्रयोगशाला अनुसन्धानकर्ताहरूले पत्ता लगाए कि यस ransomware सँग यसको पढ्ने-मात्र फाइल प्रक्रियामा बग छ। यदि संक्रमित मेसिनमा त्यस्ता फाईलहरू छन् भने, ransomware ले ती सबैलाई एन्क्रिप्ट गर्दैन। यसले प्रत्येक मूल फाइलको ईन्क्रिप्टेड प्रतिलिपि मात्र सिर्जना गर्दछ, जबकि मूल फाइलहरूले आफैं मात्र “लुकेको छ”विशेषता। जब यो हुन्छ, तिनीहरूलाई पत्ता लगाउन र तिनीहरूको सामान्य गुणहरू पुनर्स्थापित गर्न यो सरल छ।

- Ransomware विकासकर्ताहरूले धेरै गल्ती गरेका छन् र कोड गुणस्तर कम छ।
- यदि तपाइँ WannaCry ransomware बाट संक्रमित हुनुहुन्थ्यो भने, त्यहाँ राम्रो सम्भावना छ कि तपाइँ प्रभावित कम्प्युटरमा धेरै फाईलहरू पुनर्स्थापित गर्न सक्षम हुनुहुनेछ।
- फाईलहरू पुन: भण्डारण गर्न, तपाईं फाइल रिकभरीका लागि उपलब्ध निःशुल्क उपयोगिताहरू प्रयोग गर्न सक्नुहुनेछ।
मूल लेख स्रोत