I maj månad 2017, WannaCry, en ransomware kan ha orsakat förödelse över hela världen när den träffade nästan 300,000 150 datorer i 72 länder på bara XNUMX timmar, men det betyder inte att det var en högkvalitativ bit ransomware. Ja, säkerhetsforskare på Kaspersky Labs har nyligen upptäckt några programmeringsfel i koden för WannaCrypt ransomware-mask.
Dessa programmeringsfel i koden för WannaCrypt-ransomware kan tillåta några av dess offer för att återställa sina låsta filer med offentligt tillgängliga kostnadsfria återställningsverktyg eller till och med med enkla kommandon utan att betala för någon dekrypteringsnyckel.
Anton Ivanov, senior malwareanalytiker vid Kaspersky Lab, tillsammans med kollegorna Fedor Sinitsyn och Orkhan Mamedov, efter att ha undersökt skadlig programvara, har detaljerat tre kritiska fel som gjorts av WannaCry-utvecklare som kan göra det möjligt för sysadmins att återställa potentiellt förlorade filer.
Enligt forskarna ligger frågan i det sätt som skadlig kod utför krypteringen.
"När Wannacry krypterar offrets filer läser den från originalfilen, krypterar innehållet och sparar det i filen med tillägget" .WNCRYT ". Efter kryptering flyttas ".WNCRYT" till ".WNCRY" och raderar originalfilen. Denna raderingslogik kan variera beroende på platsen och egenskaperna för offrets filer. ”
WannaCry kopierar filerna och skapar sina krypterade kopior eftersom det inte är möjligt för en skadlig programvara att direkt kryptera eller ändra skrivskyddade filer. Medan de ursprungliga filerna förblir orörda men får ett "dolt" attribut, krävs det att offrarna återställer sina normala attribut för att få tillbaka originaldata.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Återställa filer från systemdisken (dvs. C-enhet)
Enligt forskare kan filer som är lagrade i de "viktiga mapparna", som Desktop eller Documents-mappen, inte återställas utan dekrypteringsnyckeln eftersom WannaCry har utformats för att skriva över originalfiler med slumpmässiga data innan de tas bort.
Forskarna märkte emellertid att andra filer som lagrats utanför "viktiga mappar" på systemdisken kunde återställas från den tillfälliga mappen med hjälp av ett program för dataräddning.
“Om filen lagras utanför" viktiga "mappar flyttas originalfilen till% TEMP% \% d.WNCRYT (där% d anger ett numeriskt värde). Dessa filer innehåller originaldata och skrivs inte över, de raderas helt enkelt från hårddisken, vilket innebär att det finns en stor chans att det går att återställa dem med hjälp av programvara för dataräddning.
Återställa filer från icke-enhetsenheter
Enligt forskare skapar WannaCry Ransomware en dold "$ RECYCLE" -mapp för icke-systemdrivna enheter, som är osynlig i Windows File Explorer om den har en standardkonfiguration. Skadlig programvara flyttar sedan originalfiler till den här katalogen efter kryptering. Du kan dock återställa dessa filer genom att helt enkelt ta bort mappen '$ RECYCLE'.
På grund av "synkroniseringsfel" i ransomware-koden finns i många fall originalfilerna kvar i samma katalog och flyttas inte till $ RECYCLE, vilket gör det möjligt för offren att återställa osäker borttagna filer med hjälp av tillgänglig dataräddningsprogramvara.
WannaCry Ransomware-programmeringsfel:
Kaspersky Lab-forskare har upptäckt att denna ransomware har en bugg i sin skrivskyddade filbehandling. Om det finns sådana filer på den infekterade maskinen kommer krypteringsprogrammet inte att kryptera dem alls. Det skapar bara en krypterad kopia av varje originalfil, medan originalfilerna själva bara får “dolda”Attribut. När detta händer är det enkelt att hitta dem och återställa sina normala attribut.
- Ransomware-utvecklarna har gjort många misstag och kodkvaliteten är mycket låg.
- Om du smittades med WannaCry-ransomware finns det en god möjlighet att du kommer att kunna återställa många av filerna på den drabbade datorn.
- För att återställa filer kan du använda de kostnadsfria verktygen som är tillgängliga för filåterställning.
Originalartikel källa
