I mai 2017, WannaCry, en løsepenger kan ha forårsaket kaos over hele verden da den traff nesten 300,000 150 PC-er i 72 land på bare XNUMX timer, men det betyr ikke at det var et høykvalitets stykke ransomware. Ja, sikkerhetsforskere ved Kaspersky Labs har nylig oppdaget noen programmeringsfeil i koden til WannaCrypt ransomware-ormen.
Disse programmeringsfeilene i koden til WannaCrypt ransomware kan tillate noen av dens ofre å gjenopprette låste filer med offentlig tilgjengelige gratis gjenopprettingsverktøy eller til og med med enkle kommandoer, uten å betale for noen dekrypteringsnøkkel.
Anton Ivanov, senior malware-analytiker ved Kaspersky Lab, sammen med kollegaene Fedor Sinitsyn og Orkhan Mamedov, etter å ha undersøkt skadelig programvare, har detaljert tre kritiske feil gjort av WannaCry-utviklere som kan tillate sysadmins å gjenopprette potensielt tapte filer.
Ifølge forskerne ligger problemet i den måten skadelig programvare utfører kryptering.
“Når Wannacry krypterer offerets filer, leser den fra originalfilen, krypterer innholdet og lagrer det i filen med filtypen“ .WNCRYT ”. Etter kryptering flytter den ".WNCRYT" til ".WNCRY" og sletter originalfilen. Denne slettingslogikken kan variere avhengig av plasseringen og egenskapene til offerets filer. ”
WannaCry kopierer filene og lager krypterte kopier fordi det ikke er mulig for en ondsinnet programvare å direkte kryptere eller endre skrivebeskyttede filer. Mens de opprinnelige filene forblir uberørte, men får en "skjult" attributt, krever det bare at ofrene gjenoppretter sine normale attributter for å få tilbake de originale dataene.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Gjenopprette filer fra systemstasjonen (dvs. C-stasjon)
I følge forskere kan filer som er lagret i de viktige mappene, som Desktop eller Documents-mappen, ikke gjenopprettes uten dekrypteringsnøkkelen fordi WannaCry er designet for å overskrive originale filer med tilfeldige data før fjerning.
Forskerne la imidlertid merke til at andre filer som er lagret utenfor viktige mapper på systemstasjonen, kan gjenopprettes fra den midlertidige mappen ved hjelp av en datagjenopprettingsprogramvare.
“Hvis filen lagres utenfor“ viktige ”mapper, flyttes den opprinnelige filen til% TEMP% \% d.WNCRYT (der% d angir en numerisk verdi). Disse filene inneholder originaldataene og blir ikke overskrevet, de slettes ganske enkelt fra disken, noe som betyr at det er stor sjanse for at det vil være mulig å gjenopprette dem ved hjelp av programvare for datagjenoppretting. ”
Gjenopprette filer fra ikke-systemstasjoner
Ifølge forskere oppretter WannaCry Ransomware en skjult '$ RECYCLE' -mappe for ikke-systemstasjoner, som er usynlig i Windows File Explorer hvis den har en standardkonfigurasjon. Skadelig programvare flytter deretter originale filer til denne katalogen etter kryptering. Du kan imidlertid gjenopprette disse filene bare ved å skjule mappen '$ RECYCLE'.
På grunn av "synkroniseringsfeil" i løsepengekoden, forblir i mange tilfeller de originale filene i samme katalog og blir ikke flyttet til $ RECYCLE, noe som gjør det mulig for ofre å gjenopprette usikkert slettede filer ved hjelp av tilgjengelig programvare for datagjenoppretting.
WannaCry Ransomware-programmeringsfeil:
Kaspersky Lab-forskere har oppdaget at denne løsepenger har en feil i den skrivebeskyttede filbehandlingen. Hvis det er slike filer på den infiserte maskinen, vil ikke løsepenger kryptere dem i det hele tatt. Det vil bare opprette en kryptert kopi av hver originalfil, mens de originale filene bare får "skjult" Egenskap. Når dette skjer, er det enkelt å finne dem og gjenopprette normale egenskaper.
- Ransomware-utviklerne har gjort mange feil, og kodekvaliteten er veldig lav.
- Hvis du ble smittet med WannaCry ransomware, er det en god mulighet for at du vil være i stand til å gjenopprette mange av filene på den berørte datamaskinen.
- For å gjenopprette filer kan du bruke de gratis verktøyene som er tilgjengelige for filgjenoppretting.
Original artikkel kilde
