In de maand mei 2017, WannaCry, een ransomware heeft misschien over de hele wereld schade aangericht toen het binnen 300,000 uur bijna 150 pc's in 72 landen bereikte, maar dat betekent niet dat het een hoogwaardig stukje ransomware was. Ja, beveiligingsonderzoekers bij Kaspersky Labs hebben onlangs enkele programmeerfouten ontdekt in de code van de WannaCrypt ransomware-worm.
Deze programmeerfouten in de code van de WannaCrypt-ransomware kunnen sommige van zijn slachtoffers toelaten om hun vergrendelde bestanden te herstellen met openbaar beschikbare gratis hersteltools of zelfs met eenvoudige opdrachten, zonder te betalen voor een decoderingssleutel.
Anton Ivanov, senior malware-analist bij Kaspersky Lab, heeft samen met collega's Fedor Sinitsyn en Orkhan Mamedov, na diepgaand onderzoek naar de malware, drie kritieke fouten beschreven die zijn gemaakt door WannaCry-ontwikkelaars waardoor systeembeheerders mogelijk verloren bestanden kunnen herstellen.
Volgens de onderzoekers zit het probleem in de manier waarop de malware de codering uitvoert.
"Wanneer Wannacry de bestanden van zijn slachtoffer versleutelt, leest het uit het originele bestand, versleutelt de inhoud en slaat het op in het bestand met de extensie ".WNCRYT". Na codering wordt ".WNCRYT" verplaatst naar ".WNCRY" en wordt het originele bestand verwijderd. Deze verwijderingslogica kan variëren, afhankelijk van de locatie en eigenschappen van de bestanden van het slachtoffer."
WannaCry kopieert de bestanden en maakt hun versleutelde kopieën omdat het voor kwaadaardige software niet mogelijk is om alleen-lezen bestanden direct te versleutelen of te wijzigen. Terwijl de originele bestanden onaangeroerd blijven maar een 'verborgen' attribuut krijgen, vereist het terugkrijgen van de originele data dat de slachtoffers hun normale attributen herstellen.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Bestanden herstellen van de systeemschijf (dwz C-schijf)
Volgens onderzoekers kunnen bestanden die zijn opgeslagen in de 'belangrijke mappen', zoals de map Desktop of Documenten, niet worden hersteld zonder de decoderingssleutel, omdat WannaCry is ontworpen om originele bestanden te overschrijven met willekeurige gegevens voordat ze worden verwijderd.
Onderzoekers merkten echter op dat andere bestanden die buiten 'belangrijke mappen' op de systeemschijf waren opgeslagen, konden worden hersteld vanuit de tijdelijke map met behulp van software voor gegevensherstel.
“Als het bestand buiten 'belangrijke' mappen wordt opgeslagen, wordt het originele bestand verplaatst naar %TEMP%\%d.WNCRYT (waarbij %d een numerieke waarde aanduidt). Deze bestanden bevatten de originele gegevens en worden niet overschreven, ze worden gewoon van de schijf verwijderd, wat betekent dat er een grote kans is dat het mogelijk is om ze te herstellen met behulp van software voor gegevensherstel.”
Bestanden herstellen van niet-systeemstations Drive
Volgens onderzoekers creëert de WannaCry Ransomware voor niet-systeemschijven een verborgen '$RECYCLE'-map, die onzichtbaar is in Windows Verkenner als deze een standaardconfiguratie heeft. De malware verplaatst vervolgens de originele bestanden naar deze map na versleuteling. U kunt deze bestanden echter herstellen door de map '$RECYCLE' zichtbaar te maken.
Vanwege "synchronisatiefouten" in de ransomware-code blijven de originele bestanden in veel gevallen in dezelfde map en worden ze niet verplaatst naar $RECYCLE, waardoor het voor slachtoffers mogelijk is om onveilig verwijderde bestanden te herstellen met behulp van beschikbare software voor gegevensherstel.
WannaCry Ransomware programmeerfouten:
Onderzoekers van Kaspersky Lab hebben ontdekt dat deze ransomware een bug heeft in de alleen-lezen bestandsverwerking. Als er dergelijke bestanden op de geïnfecteerde machine staan, zal de ransomware ze helemaal niet versleutelen. Het maakt alleen een gecodeerde kopie van elk origineel bestand, terwijl de originele bestanden zelf alleen de "verborgen” attribuut. Wanneer dit gebeurt, is het eenvoudig om ze te vinden en hun normale kenmerken te herstellen.
- De ransomware-ontwikkelaars hebben veel fouten gemaakt en de kwaliteit van de code is erg laag.
- Als je besmet bent met de WannaCry ransomware, is de kans groot dat je veel van de bestanden op de getroffen computer kunt herstellen.
- Om bestanden te herstellen, kunt u de gratis hulpprogramma's gebruiken die beschikbaar zijn voor bestandsherstel.
Oorspronkelijk artikel bron
