مئی 2017 کے مہینے میں ، WannaCry ، ایک ransomware ہوسکتا ہے کہ جب اس نے صرف 300,000 گھنٹوں کے اندر اندر 150 ممالک میں 72،XNUMX پی سی لگائے تو پوری دنیا میں تباہی مچ گئی ، لیکن اس کا مطلب یہ نہیں ہے کہ یہ ایک اعلی قسم کا رانس ویئر کا ٹکڑا تھا۔ ہاں ، پر سیکیورٹی محققین کسپرسکی لیبز حال ہی میں WannaCrypt ransomware کیڑے کے کوڈ میں پروگرامنگ کی کچھ غلطیاں دریافت ہوئی ہیں۔
WannaCrypt ransomware کے کوڈ میں پروگرامنگ کی یہ غلطیاں اس کے کچھ متاثرین کی اجازت دے سکتی ہیں ان کی بند شدہ فائلوں کو عوامی طور پر دستیاب مفت بازیافت ٹولز یا حتی کہ آسان ڈھانچے کے ساتھ ، کسی ڈکرپشن کلید کی ادائیگی کے بغیر ان کو بحال کرنا۔
کاسپرسکی لیب کے سینئر میلویئر تجزیہ کار انتون ایوانوف ، ساتھیوں فیڈر سینیٹسن اور اورخان میمیدوف کے ساتھ ، مالویئر کی گہری تحقیق کے بعد ، وانا کرری ڈویلپرز کی طرف سے کی گئی تین اہم غلطیوں کی تفصیل رکھتے ہیں جو سیسڈمینس کو ممکنہ طور پر کھو جانے والی فائلوں کو بحال کرنے میں مدد فراہم کرسکتے ہیں۔
محققین کے مطابق ، معاملہ جس طرح سے میلویئر کے خفیہ کاری کو انجام دیتا ہے اسی طرح کا ہے۔
"جب واناکری اپنے شکار کی فائلوں کو خفیہ کرتا ہے ، تو وہ اصل فائل سے پڑھتا ہے ، مواد کو خفیہ کرتا ہے اور اسے" .WNCRYT "کے ساتھ فائل میں محفوظ کرتا ہے۔ خفیہ کاری کے بعد یہ ".WNCRYT" کو ".WNCRY" میں منتقل کرتا ہے اور اصل فائل کو حذف کردیتا ہے۔ حذف ہونے کی یہ منطق متاثرہ افراد کی فائلوں کے مقام اور خصوصیات کے لحاظ سے مختلف ہوسکتی ہے۔
WannaCry فائلوں کی کاپی کرتا ہے اور ان کی خفیہ کردہ کاپیاں تیار کرتا ہے کیونکہ نقصاندہ سافٹ ویئر کے لئے صرف پڑھنے والی فائلوں کو براہ راست مرموز یا ترمیم کرنا ممکن نہیں ہے۔ اگرچہ اصل فائلیں اچھوت رہ گئیں ہیں لیکن انھیں 'پوشیدہ' وصف دیا جاتا ہے ، لیکن اصل اعداد و شمار کو واپس کرنے میں متاثرین کو اپنی معمول کی خصوصیات کو بحال کرنے کی ضرورت ہوتی ہے۔
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
سسٹم ڈرائیو (جیسے سی ڈرائیو) سے فائلوں کی بازیافت
محققین کے مطابق ، 'اہم فولڈرز' میں محفوظ فائلوں ، جیسے ڈیسک ٹاپ یا دستاویزات کے فولڈر میں ، ڈکرپشن کلید کے بغیر بازیافت نہیں کی جاسکتی ہے کیونکہ وانااکری کو ہٹانے سے پہلے بے ترتیب ڈیٹا والی اصل فائلوں کو اوور رائٹ کرنے کے لئے ڈیزائن کیا گیا تھا۔
تاہم ، محققین نے دیکھا کہ سسٹم ڈرائیو میں 'اہم فولڈرز' کے باہر محفوظ کردہ دیگر فائلوں کو ڈیٹا ریکوری سافٹ ویئر کا استعمال کرتے ہوئے عارضی فولڈر سے بحال کیا جاسکتا ہے۔
"اگر فائل کو 'اہم' فولڈرز سے باہر ذخیرہ کیا گیا ہے ، تو اصل فائل کو٪ TEMP٪ \٪ d.WNCRYT (جہاں٪ d ایک عددی قدر کی نشاندہی کرتا ہے) میں منتقل کردیا جائے گا۔ ان فائلوں میں اصل اعداد و شمار شامل ہوتے ہیں اور ان کو اوور رائٹ نہیں کیا جاتا ہے ، انہیں صرف ڈسک سے حذف کردیا جاتا ہے ، جس کا مطلب ہے کہ اس بات کا زیادہ امکان موجود ہے کہ ڈیٹا ریکوری سافٹ ویئر کا استعمال کرتے ہوئے ان کی بحالی ممکن ہوسکے۔
نان سسٹم ڈرائیوز سے فائلیں بازیافت کرنا
محققین کے مطابق ، نان سسٹم ڈرائیوز کے لئے ، وانا کرری رینسم ویئر ایک چھپا ہوا '$ RECYCLE' فولڈر تیار کرتا ہے ، جو ونڈوز فائل ایکسپلورر میں پوشیدہ ہے اگر اس میں ڈیفالٹ ترتیب موجود ہے۔ اس کے بعد میلویئر اصل فائلوں کو اس ڈائرکٹری میں خفیہ کاری کے بعد منتقل کرتا ہے۔ تاہم ، آپ ان فائلوں کو صرف 'EC RECYCLE' فولڈر کو چھپا کر بازیافت کرسکتے ہیں۔
نیز ، رینسم ویئر کوڈ میں "مطابقت پذیری کی غلطیاں" کی وجہ سے ، بہت ساری صورتوں میں اصل فائلیں اسی ڈائرکٹری میں رہتی ہیں اور انہیں $ RECYCLE میں منتقل نہیں کیا جاتا ہے ، جس سے متاثرین کو دستیاب ڈیٹا ریکوری سافٹ ویئر کا استعمال کرتے ہوئے غیر محفوظ طریقے سے حذف شدہ فائلوں کی بحالی ممکن ہوجاتی ہے۔
WannaCry Ransomware پروگرامنگ کی خرابیاں:
کاسپرسکی لیب کے محققین نے دریافت کیا ہے کہ اس رانسوم ویئر کے پاس صرف پڑھنے والی فائل پروسیسنگ میں ایک بگ ہے۔ اگر متاثرہ مشین پر ایسی فائلیں موجود ہیں تو ، پھر تاوان کا سامان ان کو بالکل بھی خفیہ نہیں کرے گا۔ یہ صرف ہر اصل فائل کی ایک خفیہ کردہ کاپی تیار کرے گا ، جبکہ اصل فائلوں کو خود صرف "چھپے ہوئے" وصف. جب ایسا ہوتا ہے تو ، انہیں تلاش کرنا اور ان کی عام خصوصیات کو بحال کرنا آسان ہے۔
- رینسم ویئر ڈویلپروں نے بہت ساری غلطیاں کی ہیں اور کوڈ کا معیار بہت کم ہے۔
- اگر آپ WannaCry ransomware سے متاثر ہوئے تھے تو ، اس کا قوی امکان ہے کہ آپ متاثرہ کمپیوٹر پر موجود بہت ساری فائلوں کو بحال کرسکیں گے۔
- فائلوں کو بحال کرنے کے ل you ، آپ فائل کی بازیابی کے لئے دستیاب مفت افادیتیں استعمال کرسکتے ہیں۔
اصل مضمون ذرائع
