У травні 2017 року WannaCry, програма-вимагатель можливо, спричинило хаос у всьому світі, коли за 300,000 години він вразив майже 150 72 ПК у XNUMX країнах, але це не означає, що це була високоякісна частина програми-вимагателя. Так, дослідники безпеки в Лабораторія Касперського нещодавно виявили деякі помилки програмування в коді черв'яка-вимагателя WannaCrypt.
Ці помилки програмування в коді програми-вимогателя WannaCrypt можуть дозволити деяким жертвам відновлювати свої заблоковані файли за допомогою загальнодоступних безкоштовних інструментів відновлення або навіть за допомогою простих команд, не платячи за будь-який ключ дешифрування.
Антон Іванов, старший аналітик зловмисного програмного забезпечення в Лабораторії Касперського, разом із колегами Федором Синіцином та Орханом Мамедовим, після глибокого дослідження шкідливого програмного забезпечення, докладно описали три критичні помилки, допущені розробниками WannaCry, які можуть дозволити системним адміністраторам відновити потенційно втрачені файли.
На думку дослідників, проблема полягає в тому, як зловмисне програмне забезпечення здійснює шифрування.
“Коли Wannacry шифрує файли своєї жертви, він читає з оригінального файлу, шифрує вміст і зберігає у файлі з розширенням“ .WNCRYT ”. Після шифрування він переміщує “.WNCRYT” у “.WNCRY” і видаляє вихідний файл. Ця логіка видалення може відрізнятися залежно від розташування та властивостей файлів жертви ".
WannaCry копіює файли та створює їх зашифровані копії, оскільки шкідливе програмне забезпечення не може безпосередньо шифрувати або змінювати файли, призначені лише для читання. Хоча оригінальні файли залишаються недоторканими, але їм надається «прихований» атрибут, повернення вихідних даних просто вимагає від жертв відновлення своїх звичайних атрибутів.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Відновлення файлів із системного диска (тобто диска C)
На думку дослідників, файли, що зберігаються у „важливих папках”, таких як робочий стіл або папка „Документи”, не можуть бути відновлені без ключа розшифровки, оскільки WannaCry розроблено для перезапису оригінальних файлів випадковими даними перед видаленням.
Однак дослідники помітили, що інші файли, що зберігаються поза "важливими папками" на системному диску, можна відновити з тимчасової папки за допомогою програмного забезпечення для відновлення даних.
«Якщо файл зберігається поза« важливими »папками, то оригінальний файл буде переміщено до% TEMP% \% d.WNCRYT (де% d позначає числове значення). Ці файли містять вихідні дані і не перезаписуються, вони просто видаляються з диска, а це означає, що існує велика ймовірність їх відновлення за допомогою програмного забезпечення для відновлення даних ".
Відновлення файлів з несистемних дисків
На думку дослідників, для несистемних дисків WannaCry Ransomware створює приховану папку '$ RECYCLE', яка невидима у Провіднику файлів Windows, якщо вона має конфігурацію за замовчуванням. Потім зловмисне програмне забезпечення переміщує оригінальні файли в цей каталог після шифрування. Однак ви можете відновити ці файли, просто приховавши папку '$ RECYCLE'.
Крім того, через «помилки синхронізації» в коді-програмі-вимагателе, у багатьох випадках оригінальні файли залишаються в тому самому каталозі і не переміщуються до $ RECYCLE, що дає можливість жертвам відновити небезпечно видалені файли за допомогою доступного програмного забезпечення для відновлення даних.
Помилки програмування WannaCry Ransomware:
Дослідники "Лабораторії Касперського" виявили, що ця програма-вимагатель має помилку в обробці файлів лише для читання. Якщо на зараженій машині є такі файли, програма-вимагатель взагалі не зашифрує їх. Він створить лише зашифровану копію кожного оригінального файлу, тоді як самі оригінальні файли отримують лише “прихованийАтрибут. Коли це трапляється, їх легко знайти та відновити їхні звичні атрибути.
- Розробники програм-вимагачів зробили багато помилок, а якість коду дуже низька.
- Якщо ви були заражені програмою-вимагателем WannaCry, існує велика ймовірність того, що ви зможете відновити велику кількість файлів на ураженому комп'ютері.
- Щоб відновити файли, ви можете скористатися безкоштовними утилітами, доступними для відновлення файлів.
Оригінальна стаття джерело
