Sa buwan ng Mayo 2017, WannaCry, isang ransomware maaaring nagdulot ng kaguluhan sa buong mundo nang tumama ang halos 300,000 PC sa 150 mga bansa sa loob lamang ng 72 oras, ngunit hindi ito nangangahulugang ito ay isang de-kalidad na piraso ng ransomware. Oo, ang mga mananaliksik sa seguridad sa Kaspersky Labs natuklasan kamakailan ang ilang mga error sa pagprogram sa code ng WannaCrypt ransomware worm.
Ang mga error sa pagprogram sa code ng WannaCrypt ransomware ay maaaring payagan ang ilan sa mga biktima nito upang maibalik ang kanilang naka-lock na mga file gamit ang magagamit na publiko na libreng mga tool sa pag-recover o kahit na may simpleng mga utos, nang hindi nagbabayad para sa anumang susi sa pag-decryption.
Si Anton Ivanov, ang senior analyst ng malware sa Kaspersky Lab, kasama ang mga kasamahan na sina Fedor Sinitsyn at Orkhan Mamedov, matapos ang malalim na pagsasaliksik sa malware, ay nakadetalye ng tatlong mga kritikal na kamalian na ginawa ng mga developer ng WannaCry na maaaring payagan ang mga sysadmin na maibalik ang mga potensyal na nawalang mga file.
Ayon sa mga mananaliksik, ang isyu ay naninirahan sa paraan ng pagsasagawa ng malware ng pag-encrypt.
"Kapag na-encrypt ng Wannacry ang mga file ng biktima nito, nagbabasa ito mula sa orihinal na file, na-encrypt ang nilalaman at nai-save ito sa file na may extension na" .WNCRYT ". Pagkatapos ng pag-encrypt ay inililipat nito ang ".WNCRYT" sa ".WNCRY" at tinatanggal ang orihinal na file. Ang lohika ng pagtanggal na ito ay maaaring magkakaiba depende sa lokasyon at mga katangian ng mga file ng biktima. ”
Kinokopya ng WannaCry ang mga file at lumilikha ng kanilang naka-encrypt na kopya sapagkat hindi posible para sa isang nakakahamak na software na direktang i-encrypt o baguhin ang mga read-only na file. Habang ang mga orihinal na file ay mananatiling hindi nagalaw ngunit binibigyan ng isang 'nakatagong' katangian, ang pagkuha ng orihinal na data ay nangangailangan lamang ng mga biktima na ibalik ang kanilang mga normal na katangian.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Pagkuha ng Mga File mula sa System Drive (ie C drive)
Ayon sa mga mananaliksik, ang mga file na nakaimbak sa 'mahahalagang folder', tulad ng Desktop o folder ng Mga Dokumento, ay hindi mababawi nang walang decryption key sapagkat ang WannaCry ay dinisenyo upang patungan ang mga orihinal na file na may random na data bago alisin.
Gayunpaman, napansin ng mga mananaliksik na ang iba pang mga file na nakaimbak sa labas ng 'mahahalagang folder' sa drive ng system ay maaaring maibalik mula sa pansamantalang folder gamit ang isang data recovery software.
"Kung ang file ay nakaimbak sa labas ng mga 'mahalagang' folder, pagkatapos ang orihinal na file ay ililipat sa% TEMP% \% d.WNCRYT (kung saan ang% d ay nangangahulugang isang numerong halaga). Naglalaman ang mga file na ito ng orihinal na data at hindi naipa-overtake, simpleng tinanggal ang mga ito mula sa disk, na nangangahulugang mayroong isang malaking posibilidad na posible na ibalik ang mga ito gamit ang data recovery software. "
Pag-recover ng Mga File mula sa Mga Non-System Drive
Ayon sa mga mananaliksik, para sa mga hindi pang-system drive, ang WannaCry Ransomware ay lumilikha ng isang nakatagong folder na '$ RecYCLE', na kung saan ay hindi nakikita sa Windows File Explorer kung mayroon itong isang default na pagsasaayos. Inililipat ng malware ang orihinal na mga file sa direktoryong ito pagkatapos ng pag-encrypt. Gayunpaman, mababawi mo ang mga file na iyon sa pamamagitan lamang ng pag-unhid ng folder na '$ RecYCLE'.
Gayundin, dahil sa "mga error sa pag-syncing" sa ransomware code, sa maraming mga kaso ang mga orihinal na file ay mananatili sa parehong direktoryo at hindi inililipat sa $ RecYCLE, na ginagawang posible para sa mga biktima na maibalik ang mga hindi ligtas na natanggal na mga file gamit ang magagamit na data recovery software.
Mga Error sa Programming ng WannaCry Ransomware:
Natuklasan ng mga mananaliksik ng Kaspersky Lab na ang ransomware na ito ay may isang bug sa read-only na pagproseso ng file. Kung mayroong mga naturang mga file sa nahawaang makina, kung gayon ang ransomware ay hindi i-encrypt ang mga ito sa lahat. Lilikha lamang ito ng naka-encrypt na kopya ng bawat orihinal na file, habang ang mga orihinal na file mismo ay nakukuha lamang ang "nakatago”Katangian. Kapag nangyari ito, simpleng hanapin ang mga ito at ibalik ang kanilang normal na mga katangian.
- Ang mga developer ng ransomware ay nakagawa ng maraming pagkakamali at ang kalidad ng code ay napakababa.
- Kung nahawahan ka ng WannaCry ransomware, mayroong isang magandang posibilidad na maibalik mo ang maraming mga file sa apektadong computer.
- Upang maibalik ang mga file, maaari mong gamitin ang mga libreng magagamit na magagamit para sa pagbawi ng file.
Orihinal na artikulo pinagmulan
