V mesiaci máj 2017 WannaCry, ransomvér môže spôsobiť katastrofu na celom svete, keď v priebehu 300,000 hodín zasiahla takmer 150 72 počítačov v XNUMX krajinách, ale to neznamená, že išlo o vysoko kvalitný softvér ransomware. Áno, bezpečnostní výskumníci v Kaspersky Labs nedávno objavili niektoré programovacie chyby v kóde červu WansCrypt ransomware.
Tieto programové chyby v kóde ransomvéru WannaCrypt mohli umožniť niektorým z jeho obetí aby obnovili svoje uzamknuté súbory pomocou verejne dostupných bezplatných nástrojov na obnovenie alebo dokonca pomocou jednoduchých príkazov, bez platenia za akýkoľvek dešifrovací kľúč.
Anton Ivanov, hlavný analytik malvéru v spoločnosti Kaspersky Lab, spolu s kolegami Fedorom Sinitsynom a Orkhanom Mamedovom po dôkladnom preskúmaní škodlivého softvéru podrobne popísali tri kritické chyby vývojárov WannaCry, ktoré by mohli umožniť správcom systému obnoviť potenciálne stratené súbory.
Podľa vedcov problém spočíva v spôsobe, akým malware vykonáva šifrovanie.
"Keď Wannacry šifruje súbory obete, číta z pôvodného súboru, zašifruje obsah a uloží ho do súboru s príponou" .WNCRYT ". Po šifrovaní presunie súbor „.WNCRYT“ do súboru „.WNCRY“ a vymaže pôvodný súbor. Táto logika odstránenia sa môže líšiť v závislosti od umiestnenia a vlastností súborov obete. “
WannaCry kopíruje súbory a vytvára ich šifrované kópie, pretože nie je možné, aby škodlivý softvér priamo šifroval alebo upravoval súbory iba na čítanie. Aj keď pôvodné súbory zostávajú nedotknuté, ale majú atribút „skryté“, získanie pôvodných údajov späť si jednoducho vyžaduje, aby obete obnovili svoje bežné atribúty.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Obnova súborov zo systémovej jednotky (tj. Jednotka C)
Podľa výskumníkov nemožno súbory uložené v „dôležitých priečinkoch“, ako napríklad v priečinku Desktop alebo Documents, obnoviť bez dešifrovacieho kľúča, pretože program WannaCry bol navrhnutý na prepísanie pôvodných súborov náhodnými údajmi pred odstránením.
Vedci si však všimli, že ďalšie súbory uložené mimo „dôležitých priečinkov“ na systémovej jednotke je možné obnoviť z dočasného priečinka pomocou softvéru na obnovu údajov.
„Ak je súbor uložený mimo„ dôležitých “priečinkov, pôvodný súbor bude presunutý do priečinka% TEMP% \% d.WNCRYT (kde% d označuje číselnú hodnotu). Tieto súbory obsahujú pôvodné údaje a nie sú prepísané, jednoducho sa odstránia z disku, čo znamená, že existuje veľká šanca, že ich bude možné obnoviť pomocou softvéru na obnovu dát. “
Obnova súborov z nesystémových diskov
Podľa vedcov vytvorí pre nesystémové disky WannaCry Ransomware skrytý priečinok „$ RECYCLE“, ktorý je v programe Windows File Explorer neviditeľný, ak má predvolenú konfiguráciu. Malvér potom po šifrovaní presunie pôvodné súbory do tohto adresára. Tieto súbory však môžete obnoviť iba skrytím priečinka „$ RECYCLE“.
Kvôli „synchronizačným chybám“ v kóde ransomware tiež pôvodné súbory v mnohých prípadoch zostávajú v rovnakom adresári a nepresúvajú sa do $ RECYCLE, čo umožňuje obetiam obnoviť nezabezpečene vymazané súbory pomocou dostupného softvéru na obnovu dát.
Chyby programovania WannaCry Ransomware:
Vedci z Kaspersky Lab zistili, že tento ransomvér obsahuje chybu v spracovaní súborov iba na čítanie. Ak sa na infikovanom počítači tieto súbory nachádzajú, ransomvér ich vôbec nezašifruje. Vytvorí iba zašifrovanú kópiu každého pôvodného súboru, zatiaľ čo pôvodné súbory samotné dostanú iba znak „skrytý”Atribút. Ak k tomu dôjde, je ľahké ich nájsť a obnoviť ich bežné atribúty.
- Vývojári ransomvéru urobili veľa chýb a kvalita kódu je veľmi nízka.
- Ak ste boli infikovaní ransomvérom WannaCry, existuje veľká pravdepodobnosť, že budete môcť obnoviť veľa súborov v príslušnom počítači.
- Na obnovenie súborov môžete použiť bezplatné nástroje na obnovu súborov.
Pôvodný článok zdroj
