2017 yil may oyida, WannaCry, to'lov dasturi faqat 300,000 soat ichida 150 ta mamlakatda 72 XNUMX ga yaqin shaxsiy kompyuterlarni urib yuborishi butun dunyoda vayronagarchiliklarni keltirib chiqargan bo'lishi mumkin, ammo bu uning yuqori sifatli to'lov dasturidir degani emas. Ha, xavfsizlik tadqiqotchilari Kasperskiy laboratoriyalari yaqinda WannaCrypt to'lov dasturining qurti kodida ba'zi dasturiy xatolarni aniqladilar.
WannaCrypt to'lov dasturining kodidagi ushbu dasturiy xatolar uning ba'zi qurbonlariga yo'l qo'yishi mumkin qulflangan fayllarni hech qanday parolni ochish kalitini to'lamasdan, ommaviy ravishda mavjud bo'lgan bepul tiklash vositalari yoki hatto oddiy buyruqlar yordamida tiklash.
"Kasperskiy laboratoriyasi" ning zararli dastur bo'yicha katta tahlilchisi Anton Ivanov, hamkasblari Fedor Sinitsin va Orxan Mamedov bilan birgalikda zararli dasturni chuqur o'rganib chiqib, sysadminlarga yo'qolishi mumkin bo'lgan fayllarni tiklashga imkon beradigan WannaCry ishlab chiquvchilari tomonidan uchta muhim xatolarni batafsil bayon qildilar.
Tadqiqotchilarning fikriga ko'ra, muammo zararli dastur shifrlashni amalga oshirishda mavjud.
"Wannacry jabrlanuvchining fayllarini shifrlashda asl fayldan o'qiydi, tarkibini shifrlaydi va" .WNCRYT "kengaytmasi bilan faylga saqlaydi. Shifrlashdan so'ng u ".WNCRYT" ni ".WNCRY" ga ko'chiradi va asl faylni o'chiradi. Ushbu o'chirish mantig'i jabrlanuvchining fayllari joylashuvi va xususiyatlariga qarab farq qilishi mumkin. "
WannaCry fayllarni nusxa ko'chiradi va ularning shifrlangan nusxalarini yaratadi, chunki zararli dasturiy ta'minot to'g'ridan-to'g'ri o'qish uchun mo'ljallangan fayllarni to'g'ridan-to'g'ri shifrlashi yoki o'zgartirishi mumkin emas. Asl fayllar tegilmagan bo'lib, ularga "yashirin" atribut berilsa-da, asl ma'lumotni qaytarib olish shunchaki qurbonlardan odatdagi atributlarini tiklashlarini talab qiladi.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Fayllarni tizim diskidan tiklash (ya'ni, C drayveri)
Tadqiqotchilarning fikriga ko'ra, "muhim papkalarda" saqlangan fayllarni, masalan, Ish stoli yoki Hujjatlar papkasini parolini ochish kalitisiz tiklash mumkin emas, chunki WannaCry o'chirilishidan oldin asl fayllarni tasodifiy ma'lumotlar bilan yozish uchun yaratilgan.
Biroq, tadqiqotchilar tizim diskidagi "muhim papkalar" dan tashqarida saqlangan boshqa fayllarni vaqtincha papkadan ma'lumotlarni tiklash dasturi yordamida tiklash mumkinligini payqashdi.
"Agar fayl" muhim "papkalardan tashqarida saqlansa, u holda asl fayl% TEMP% \% d.WNCRYT-ga ko'chiriladi (bu erda% d raqamli qiymatni bildiradi). Ushbu fayllar asl ma'lumotni o'z ichiga oladi va ustiga yozilmaydi, shunchaki diskdan o'chiriladi, demak, ma'lumotlarni qayta tiklash dasturi yordamida ularni tiklashning katta imkoniyati mavjud. "
Tizimli bo'lmagan drayvlardan fayllarni tiklash
Tadqiqotchilarning fikriga ko'ra, tizimga tegishli bo'lmagan drayvlar uchun WannaCry Ransomware maxfiy '$ RECYCLE' papkasini yaratadi, agar u standart konfiguratsiyaga ega bo'lsa, Windows File Explorer-da ko'rinmaydi. Keyin zararli dastur shifrlashdan so'ng asl fayllarni ushbu katalogga ko'chiradi. Ammo, siz ushbu fayllarni '$ RECYCLE' papkasini ochish orqali tiklashingiz mumkin.
Shuningdek, ransomware kodidagi "sinxronizatsiya xatolari" tufayli ko'p hollarda asl fayllar bir xil katalogda qoladi va $ RECYCLE-ga ko'chirilmaydi, bu esa jabrlanganlarga xavfsiz ma'lumotlarni o'chirish uchun mavjud ma'lumotlarni tiklash dasturidan foydalangan holda o'chirilgan fayllarni tiklashga imkon beradi.
WannaCry Ransomware dasturlash xatolari:
Kasperskiy laboratoriyasi tadqiqotchilari ushbu to'lov dasturida faqat o'qish uchun fayllarni qayta ishlashda xatolik borligini aniqladilar. Agar virusga chalingan kompyuterda bunday fayllar mavjud bo'lsa, unda to'lov dasturi ularni umuman shifrlamaydi. U faqat har bir asl faylning shifrlangan nusxasini yaratadi, asl fayllarning o'zi esa faqat "yashirin" xususiyat. Bu sodir bo'lganda, ularni topish va odatdagi xususiyatlarini tiklash juda oson.
- Ransomware ishlab chiquvchilari juda ko'p xatolarga yo'l qo'yishdi va kod sifati juda past.
- Agar siz WannaCry to'lov dasturini yuqtirgan bo'lsangiz, ta'sirlangan kompyuterdagi ko'plab fayllarni tiklashingiz mumkin.
- Fayllarni tiklash uchun siz fayllarni tiklash uchun mavjud bo'lgan bepul dasturlardan foydalanishingiz mumkin.
Asl maqola manba
