6 июня 2017

В программе-вымогателе WannaCry есть ошибки при кодировании, которые могут помочь вам восстановить файлы даже после заражения

В мае 2017 г. WannaCry, программа-вымогатель Возможно, он вызвал хаос во всем мире, поразив почти 300,000 150 компьютеров в 72 странах всего за XNUMX часа, но это не значит, что это была высококачественная программа-вымогатель. Да, исследователи безопасности в Лаборатория Касперского недавно обнаружили некоторые программные ошибки в коде червя-вымогателя WannaCrypt.

Эти программные ошибки в коде вымогателя WannaCrypt могут позволить некоторым из его жертв для восстановления заблокированных файлов с помощью общедоступных бесплатных инструментов восстановления или даже с помощью простых команд, не платя за какой-либо ключ дешифрования.

Антон Иванов, старший аналитик вредоносного ПО в «Лаборатории Касперского», вместе с коллегами Федором Синицыным и Орханом Мамедовым после глубокого исследования вредоносного ПО подробно описали три критические ошибки, допущенные разработчиками WannaCry, которые могут позволить системным администраторам восстановить потенциально потерянные файлы.

По словам исследователей, проблема заключается в том, как вредоносная программа выполняет шифрование.

«Когда Wannacry шифрует файлы своей жертвы, он читает из исходного файла, шифрует содержимое и сохраняет его в файл с расширением« .WNCRYT ». После шифрования он перемещает «.WNCRYT» в «.WNCRY» и удаляет исходный файл. Эта логика удаления может варьироваться в зависимости от местоположения и свойств файлов жертвы ».

WannaCry копирует файлы и создает их зашифрованные копии, поскольку вредоносное ПО не может напрямую зашифровать или изменить файлы, доступные только для чтения. Хотя исходные файлы остаются нетронутыми, но им присваивается «скрытый» атрибут, для возврата исходных данных жертвам просто требуется восстановить свои обычные атрибуты.

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

Восстановление файлов с системного диска (например, диска C)

По словам исследователей, файлы, хранящиеся в «важных папках», таких как папка «Рабочий стол» или «Документы», не могут быть восстановлены без ключа дешифрования, поскольку WannaCry был разработан для перезаписи исходных файлов случайными данными перед удалением.

В программе-вымогателе WannaCry есть ошибки при кодировании, которые могут помочь вам восстановить файлы даже после заражения (1)
Переименованные исходные файлы, которые можно восстановить из% TEMP%

Однако исследователи заметили, что другие файлы, хранящиеся за пределами «важных папок» на системном диске, можно восстановить из временной папки с помощью программного обеспечения для восстановления данных.

«Если файл хранится вне« важных »папок, то исходный файл будет перемещен в% TEMP% \% d.WNCRYT (где% d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, они просто удаляются с диска, что означает высокую вероятность их восстановления с помощью программного обеспечения для восстановления данных ».

Восстановление файлов с несистемных дисков

По словам исследователей, для несистемных дисков программа-вымогатель WannaCry создает скрытую папку «$ RECYCLE», которая невидима в проводнике Windows, если у него есть конфигурация по умолчанию. Затем вредоносная программа перемещает исходные файлы в этот каталог после шифрования. Однако вы можете восстановить эти файлы, просто открыв папку «$ RECYCLE».

В программе-вымогателе WannaCry есть ошибки при кодировании, которые могут помочь вам восстановить файлы даже после заражения (2)
Исходные файлы, которые можно восстановить с несистемного диска

Кроме того, из-за «ошибок синхронизации» в коде вымогателя во многих случаях исходные файлы остаются в том же каталоге и не перемещаются в $ RECYCLE, что позволяет жертвам восстанавливать небезопасно удаленные файлы с помощью доступного программного обеспечения для восстановления данных.

Ошибки программирования программы-вымогателя WannaCry:

Исследователи «Лаборатории Касперского» обнаружили, что у этой программы-вымогателя есть ошибка в обработке файлов, доступных только для чтения. Если на зараженной машине есть такие файлы, то программа-вымогатель не зашифрует их вообще. Будет создана только зашифрованная копия каждого исходного файла, в то время как сами исходные файлы получат только значок «в других материалах-носителях»Атрибут. Когда это происходит, их просто найти и восстановить их нормальные атрибуты.

В программе-вымогателе WannaCry есть ошибки при кодировании, которые могут помочь вам восстановить файлы даже после заражения (3)
исходные файлы только для чтения не шифруются и остаются в одном месте
  • Разработчики программ-вымогателей сделали много ошибок, и качество кода очень низкое.
  • Если вы были заражены программой-вымогателем WannaCry, есть большая вероятность, что вы сможете восстановить множество файлов на зараженном компьютере.
  • Для восстановления файлов вы можете использовать бесплатные утилиты, доступные для восстановления файлов.

Оригинальная статья источник

Об авторе 

Чайтанья


{"email": "Адрес электронной почты недействителен", "url": "Адрес сайта недействителен", "обязателен": "Отсутствует обязательное поле"}