Дар моҳи майи соли 2017, WannaCry, нармафзори фидия вақте ки он дар тӯли 300,000 соат тақрибан 150 компютерҳои фардӣ дар 72 кишварро зер кард, дар тамоми ҷаҳон боиси харобиҳо гаштааст, аммо ин маънои онро надорад, ки он як нармафзори баландсифати фидия буд. Бале, муҳаққиқони амният дар Озмоишгоҳҳои Касперский чанде пеш дар хатти барномасозии кирми нармафзори WannaCrypt баъзе хатогиҳои барномарезиро кашф карданд.
Ин хатогиҳои барномасозӣ дар рамзи нармафзори фидияи WannaCrypt метавонад ба баъзе қурбониёни он имкон диҳанд барои барқарор кардани файлҳои басташуда бо воситаҳои барқароркунии ройгони ройгон ё ҳатто бо фармонҳои оддӣ, бе пардохти ягон калиди рамзкушоӣ.
Антон Иванов, таҳлилгари калони лабораторияи Касперский дар якҷоягӣ бо ҳамкорон Федор Синицын ва Орхан Мамедов, пас аз таҳқиқи амиқи зараровар, се хатои муҳими таҳиягарони WannaCry-ро муфассал шарҳ доданд, ки ба сисадминҳо имкон медиҳад, ки файлҳои эҳтимолан гумшударо барқарор кунанд.
Тибқи гуфтаи муҳаққиқон, масъала дар тарзи иҷрои рамзгузорӣ қарор дорад.
"Вақте ки Wannacry файлҳои ҷабрдидаи худро рамзгузорӣ мекунад, он аз файли аслӣ хонда, мундариҷаро рамзгузорӣ мекунад ва бо васеъкунии" .WNCRYT "ба файл сабт мекунад. Пас аз рамзгузорӣ он ".WNCRYT" -ро ба ".WNCRY" мегузаронад ва файли аслиро нест мекунад. Ин мантиқи ҳазф вобаста ба ҷойгоҳ ва хосиятҳои парвандаҳои ҷабрдида метавонад фарқ кунад. ”
WannaCry файлҳоро нусхабардорӣ мекунад ва нусхаҳои рамзии онҳоро эҷод мекунад, зеро барои нармафзори шубҳанок бевосита рамзгузорӣ ё тағир додани файлҳои танҳо барои хондан ғайриимкон аст. Гарчанде ки файлҳои аслӣ бетағйир боқӣ мондаанд, аммо ба онҳо атрибутияи 'пинҳоншуда' дода шудааст, баргардонидани маълумоти аслӣ танҳо аз ҷабрдидагон талаб мекунад, ки сифатҳои муқаррарии худро барқарор кунанд.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Барқароркунии файлҳо аз Диски Система (яъне диски C)
Ба гуфтаи муҳаққиқон, файлҳои дар 'ҷузвдонҳои муҳим' ҳифзшударо, ба монанди папкаи Мизи корӣ ё Ҳуҷҷатҳо, бе калиди рамзкушоӣ барқарор кардан мумкин нест, зеро WannaCry тарҳрезӣ шудааст, ки файлҳои аслиро бо маълумоти тасодуфӣ пеш аз хориҷ навиштан кунад.
Аммо, муҳаққиқон мушоҳида карданд, ки дигар файлҳоеро, ки берун аз "ҷузвдонҳои муҳим" дар гардонандаи система ҳифз шудаанд, бо истифода аз нармафзори барқароркунии маълумот аз ҷузвдони муваққатӣ барқарор кардан мумкин аст.
«Агар файл берун аз ҷузвдонҳои 'муҳим' нигоҳ дошта шавад, он гоҳ файли аслӣ ба% TEMP% \% d.WNCRYT интиқол дода мешавад (дар он ҷо% d арзиши ададиро ифода мекунад). Ин файлҳо дорои маълумоти аслӣ ҳастанд ва бар рӯи онҳо навишта нашудаанд, онҳо танҳо аз диск тоза карда мешаванд, яъне маънои бо истифодаи нармафзори барқароркунии маълумот имконпазир аст, ки онҳоро барқарор кунад. ”
Барқарор кардани файлҳо аз дискҳои ғайритистемавӣ
Ба гуфтаи муҳаққиқон, барои дискҳои ғайритистемавӣ, WannaCry Ransomware ҷузвдони пинҳонии '$ RECYCLE' -ро месозад, ки дар Windows File Explorer, агар он конфигуратсияи пешфарз дошта бошад, ноаён аст. Пас зараровар пас аз рамзгузорӣ файлҳои аслиро ба ин директория интиқол медиҳад. Аммо, шумо метавонед ин файлҳоро танҳо тавассути пинҳон кардани ҷузвдони '$ RECYCLE' барқарор кунед.
Инчунин, бо сабаби "хатогиҳои синхронизатсия" дар рамзи нармафзори нармафзор, дар бисёр ҳолатҳо файлҳои аслӣ дар ҳамон директория мемонанд ва ба $ RECYCLE интиқол дода намешаванд, ки ин ба ҷабрдидагон имкон медиҳад, ки файлҳои ноамн ҳазфшударо бо истифода аз нармафзори мавҷудаи барқароркунӣ барқарор кунанд.
Хатогиҳои барномасозии WannaCry Ransomware:
Муҳаққиқони Лабораторияи Касперский кашф карданд, ки ин нармафзори фидия дар коркарди файлҳои танҳо барои хонданаш хато дорад. Агар дар мошини сироятёфта чунин файлҳо мавҷуд бошанд, пас нармафзори фидия онҳоро тамоман рамзгузорӣ намекунад. Он танҳо нусхаи рамзии ҳар як файли аслиро эҷод мекунад, дар ҳоле ки худи файлҳои аслӣ танҳо ""пинҳон”Атрибутӣ. Вақте ки ин рӯй медиҳад, ёфтани онҳо ва барқарор кардани сифатҳои муқаррарии онҳо оддӣ аст.
- Таҳиягарони нармафзори ransom ба хатогиҳои зиёд роҳ доданд ва сифати рамзҳо хеле паст аст.
- Агар шумо бо нармафзори ransomware WannaCry мубтало шуда бошед, эҳтимолияти хуби барқарор кардани бисёр файлҳо дар компютери зарардида вуҷуд дорад.
- Барои барқарор кардани файлҳо, шумо метавонед утилитҳои ройгони барқароркунии файлро истифода баред.
Мақолаи аслӣ сарчашма
