2017 Mayıs ayında, WannaCry, bir fidye yazılımı Sadece 300,000 saat içinde 150 ülkede yaklaşık 72 PC'ye ulaştığında tüm dünyada hasara yol açmış olabilir, ancak bu onun yüksek kaliteli bir fidye yazılımı olduğu anlamına gelmez. Evet, güvenlik araştırmacıları Kaspersky Labs yakın zamanda WannaCrypt fidye yazılımı solucanının kodunda bazı programlama hataları keşfettiler.
WannaCrypt fidye yazılımının kodundaki bu programlama hataları, bazı kurbanlarına izin verebilir. halka açık ücretsiz kurtarma araçlarıyla ve hatta basit komutlarla, herhangi bir şifre çözme anahtarı için ödeme yapmadan kilitli dosyalarını geri yüklemek için.
Kaspersky Lab'de kıdemli kötü amaçlı yazılım analisti Anton Ivanov, meslektaşları Fedor Sinitsyn ve Orkhan Mamedov ile birlikte kötü amaçlı yazılımı derinlemesine araştırdıktan sonra, WannaCry geliştiricileri tarafından sistem yöneticilerinin potansiyel olarak kaybolan dosyaları geri yüklemesine izin verebilecek üç kritik hatayı ayrıntılı olarak açıkladılar.
Araştırmacılara göre sorun, kötü amaçlı yazılımın şifrelemeyi gerçekleştirme biçiminde yatıyor.
“Wannacry, kurbanının dosyalarını şifrelediğinde, orijinal dosyadan okur, içeriği şifreler ve “.WNCRYT” uzantılı dosyaya kaydeder. Şifrelemeden sonra “.WNCRYT” dosyasını “.WNCRY” içine taşır ve orijinal dosyayı siler. Bu silme mantığı, mağdurun dosyalarının konumuna ve özelliklerine göre değişiklik gösterebilir.”
WannaCry dosyaları kopyalar ve şifrelenmiş kopyalarını oluşturur çünkü kötü amaçlı bir yazılımın salt okunur dosyaları doğrudan şifrelemesi veya değiştirmesi mümkün değildir. Orijinal dosyalara dokunulmaz ancak 'gizli' bir öznitelik verilirken, orijinal verileri geri almak sadece kurbanların normal özniteliklerini geri yüklemelerini gerektirir.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Sistem Sürücüsünden (yani C sürücüsü) Dosyaları Kurtarma
Araştırmacılara göre, WannaCry, kaldırılmadan önce orijinal dosyaların üzerine rastgele veriler yazmak üzere tasarlandığından, Masaüstü veya Belgeler klasörü gibi 'önemli klasörlerde' saklanan dosyalar şifre çözme anahtarı olmadan kurtarılamaz.
Ancak araştırmacılar, sistem sürücüsündeki 'önemli klasörler' dışında depolanan diğer dosyaların bir veri kurtarma yazılımı kullanılarak geçici klasörden geri yüklenebileceğini fark ettiler.
“Dosya 'önemli' klasörlerin dışında depolanıyorsa, orijinal dosya %TEMP%\%d.WNCRYT'ye taşınacaktır (%d sayısal bir değeri belirtir). Bu dosyalar orijinal verileri içerir ve üzerine yazılmaz, sadece diskten silinir, bu da veri kurtarma yazılımı kullanarak onları geri yüklemenin yüksek bir şansı olduğu anlamına gelir.”
Sistem Dışı Sürücülerden Dosyaları Kurtarma
Araştırmacılara göre, sistem dışı sürücüler için WannaCry Ransomware, varsayılan bir yapılandırmaya sahipse Windows Dosya Gezgini'nde görünmeyen gizli bir '$RECYCLE' klasörü oluşturur. Kötü amaçlı yazılım daha sonra orijinal dosyaları şifrelemeden sonra bu dizine taşır. Ancak, yalnızca '$RECYCLE' klasörünü göstererek bu dosyaları kurtarabilirsiniz.
Ayrıca, fidye yazılımı kodundaki "senkronizasyon hataları" nedeniyle, çoğu durumda orijinal dosyalar aynı dizinde kalır ve $RECYCLE'a taşınmaz, bu da kurbanların güvenli olmayan şekilde silinen dosyaları mevcut veri kurtarma yazılımını kullanarak geri yüklemelerini mümkün kılar.
WannaCry Fidye Yazılımı Programlama Hataları:
Kaspersky Lab araştırmacıları, bu fidye yazılımının salt okunur dosya işlemesinde bir hata olduğunu keşfetti. Virüs bulaşmış makinede bu tür dosyalar varsa, fidye yazılımı bunları hiç şifrelemez. Her orijinal dosyanın yalnızca şifrelenmiş bir kopyasını oluştururken, orijinal dosyaların kendileri yalnızca “gizli” nitelik. Bu olduğunda, onları bulmak ve normal özelliklerini geri yüklemek kolaydır.
- Fidye yazılımı geliştiricileri birçok hata yaptı ve kod kalitesi çok düşük.
- WannaCry fidye yazılımına bulaştıysanız, etkilenen bilgisayardaki birçok dosyayı geri yükleyebilmeniz için iyi bir olasılık vardır.
- Dosyaları geri yüklemek için dosya kurtarma için mevcut ücretsiz yardımcı programları kullanabilirsiniz.
Orijinal makale kaynak
