În luna mai 2017, WannaCry, un ransomware s-ar putea să fi făcut ravagii în întreaga lume când a lovit aproape 300,000 de computere în 150 de țări în doar 72 de ore, dar asta nu înseamnă că a fost o piesă de ransomware de înaltă calitate. Da, cercetătorii de securitate de la Laboratorii Kaspersky Am descoperit recent câteva erori de programare în codul viermelui ransomware WannaCrypt.
Aceste erori de programare din codul ransomware-ului WannaCrypt ar putea permite unora dintre victimele sale pentru a restabili fișierele blocate cu instrumente de recuperare gratuite disponibile public sau chiar cu comenzi simple, fără a plăti vreo cheie de decriptare.
Anton Ivanov, analist senior de malware la Kaspersky Lab, împreună cu colegii Fedor Sinitsyn și Orkhan Mamedov, după ce au cercetat în profunzime malware-ul, au detaliat trei erori critice făcute de dezvoltatorii WannaCry care ar putea permite sysadminilor să restabilească fișierele potențial pierdute.
Potrivit cercetătorilor, problema rezidă în modul în care malware-ul realizează criptarea.
„Când Wannacry criptează fișierele victimei, citește din fișierul original, criptează conținutul și îl salvează în fișierul cu extensia„ .WNCRYT ”. După criptare se mută „.WNCRYT” în „.WNCRY” și șterge fișierul original. Această logică de ștergere poate varia în funcție de locația și proprietățile fișierelor victimei. ”
WannaCry copiază fișierele și creează copiile lor criptate, deoarece nu este posibil ca un software rău intenționat să cripteze sau să modifice direct fișierele numai în citire. În timp ce fișierele originale rămân neatinse, dar li se dă un atribut „ascuns”, recuperarea datelor originale necesită pur și simplu victimelor să-și restabilească atributele normale.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Recuperarea fișierelor de pe unitatea de sistem (adică unitatea C)
Potrivit cercetătorilor, fișierele stocate în „folderele importante”, cum ar fi dosarul Desktop sau Documente, nu pot fi recuperate fără cheia de decriptare, deoarece WannaCry a fost conceput pentru a suprascrie fișierele originale cu date aleatorii înainte de eliminare.
Cu toate acestea, cercetătorii au observat că alte fișiere stocate în afara „folderelor importante” de pe unitatea de sistem ar putea fi restaurate din folderul temporar utilizând un software de recuperare a datelor.
„Dacă fișierul este stocat în afara dosarelor„ importante ”, atunci fișierul original va fi mutat în% TEMP% \% d.WNCRYT (unde% d denotă o valoare numerică). Aceste fișiere conțin datele originale și nu sunt suprascrise, sunt pur și simplu șterse de pe disc, ceea ce înseamnă că există șanse mari să fie posibil să le restaurezi folosind software-ul de recuperare a datelor. ”
Recuperarea fișierelor din unitățile non-sistem
Potrivit cercetătorilor, pentru unitățile non-sistem, WannaCry Ransomware creează un folder ascuns „$ RECYCLE”, care este invizibil în Windows File Explorer dacă are o configurație implicită. Programul malware mută apoi fișierele originale în acest director după criptare. Cu toate acestea, puteți recupera acele fișiere doar afișând folderul „$ RECYCLE”.
De asemenea, din cauza „erorilor de sincronizare” din codul ransomware, în multe cazuri fișierele originale rămân în același director și nu sunt mutate în $ RECYCLE, făcând posibil ca victimele să restabilească fișierele șterse nesigur folosind software-ul de recuperare a datelor disponibil.
Erori de programare WannaCry Ransomware:
Cercetătorii Kaspersky Lab au descoperit că acest ransomware are o eroare în procesarea fișierelor de numai citire. Dacă există astfel de fișiere pe computerul infectat, atunci ransomware-ul nu le va cripta deloc. Acesta va crea doar o copie criptată a fiecărui fișier original, în timp ce fișierele originale primesc doar „ascuns”Atribut. Când se întâmplă acest lucru, este simplu să le găsiți și să le restabiliți atributele normale.
- Dezvoltatorii de ransomware au făcut multe greșeli, iar calitatea codului este foarte scăzută.
- Dacă ați fost infectat cu ransomware-ul WannaCry, există o bună posibilitate că veți putea restaura o mulțime de fișiere de pe computerul afectat.
- Pentru a restaura fișiere, puteți utiliza utilitarele gratuite disponibile pentru recuperarea fișierelor.
Articolul original sursă
