Vào tháng 2017 năm XNUMX, WannaCry, một ransomware có thể đã gây ra sự tàn phá trên toàn thế giới khi nó tấn công gần 300,000 PC ở 150 quốc gia chỉ trong vòng 72 giờ, nhưng điều đó không có nghĩa đó là một phần mềm ransomware chất lượng cao. Có, các nhà nghiên cứu bảo mật tại Phòng thí nghiệm của Kaspersky gần đây đã phát hiện ra một số lỗi lập trình trong mã của sâu ransomware WannaCrypt.
Các lỗi lập trình này trong mã của phần mềm tống tiền WannaCrypt có thể cho phép một số nạn nhân của nó để khôi phục các tệp bị khóa của họ bằng các công cụ khôi phục miễn phí có sẵn công khai hoặc thậm chí bằng các lệnh đơn giản mà không phải trả tiền cho bất kỳ khóa giải mã nào.
Anton Ivanov, nhà phân tích phần mềm độc hại cao cấp tại Kaspersky Lab, cùng với các đồng nghiệp Fedor Sinitsyn và Orkhan Mamedov, sau khi nghiên cứu sâu về phần mềm độc hại, đã nêu chi tiết ba lỗi nghiêm trọng do các nhà phát triển WannaCry thực hiện có thể cho phép các sysadmins khôi phục các tệp có khả năng bị mất.
Theo các nhà nghiên cứu, vấn đề nằm ở cách phần mềm độc hại thực hiện mã hóa.
“Khi Wannacry mã hóa các tệp của nạn nhân, nó sẽ đọc từ tệp gốc, mã hóa nội dung và lưu vào tệp có đuôi“ .WNCRYT ”. Sau khi mã hóa, nó sẽ chuyển “.WNCRYT” thành “.WNCRY” và xóa tệp gốc. Logic xóa này có thể khác nhau tùy thuộc vào vị trí và thuộc tính của các tệp của nạn nhân ”.
WannaCry sao chép các tệp và tạo các bản sao được mã hóa của chúng vì phần mềm độc hại không thể mã hóa hoặc sửa đổi trực tiếp các tệp chỉ đọc. Mặc dù các tệp gốc vẫn không bị ảnh hưởng nhưng có thuộc tính 'ẩn', việc lấy lại dữ liệu gốc chỉ cần nạn nhân khôi phục các thuộc tính bình thường của họ.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Khôi phục tệp từ ổ đĩa hệ thống (tức là ổ C)
Theo các nhà nghiên cứu, các tệp được lưu trữ trong các 'thư mục quan trọng', như máy tính để bàn hoặc thư mục Tài liệu, không thể được phục hồi mà không có khóa giải mã vì WannaCry đã được thiết kế để ghi đè các tệp gốc bằng dữ liệu ngẫu nhiên trước khi xóa.
Tuy nhiên, các nhà nghiên cứu nhận thấy rằng các tệp khác được lưu trữ bên ngoài 'thư mục quan trọng' trên ổ đĩa hệ thống có thể được khôi phục từ thư mục tạm thời bằng phần mềm khôi phục dữ liệu.
“Nếu tệp được lưu trữ bên ngoài các thư mục 'quan trọng', thì tệp gốc sẽ được chuyển đến% TEMP% \% d.WNCRYT (trong đó% d biểu thị một giá trị số). Các tệp này chứa dữ liệu gốc và không bị ghi đè, chúng chỉ đơn giản là bị xóa khỏi đĩa, có nghĩa là có khả năng cao sẽ có thể khôi phục chúng bằng phần mềm khôi phục dữ liệu ”.
Khôi phục tệp từ ổ đĩa không thuộc hệ thống
Theo các nhà nghiên cứu, đối với các ổ đĩa không thuộc hệ thống, WannaCry Ransomware tạo ra một thư mục '$ RECYCLE' ẩn, thư mục này sẽ ẩn trong Windows File Explorer nếu nó có cấu hình mặc định. Phần mềm độc hại sau đó sẽ di chuyển các tệp gốc vào thư mục này sau khi mã hóa. Tuy nhiên, bạn có thể khôi phục các tệp đó chỉ bằng cách giải nén thư mục '$ RECYCLE'.
Ngoài ra, do "lỗi đồng bộ hóa" trong mã ransomware, trong nhiều trường hợp, các tệp gốc vẫn nằm trong cùng một thư mục và không được chuyển vào $ RECYCLE, khiến nạn nhân có thể khôi phục các tệp đã xóa không an toàn bằng phần mềm khôi phục dữ liệu có sẵn.
Lỗi lập trình WannaCry Ransomware:
Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra rằng ransomware này có một lỗi trong quá trình xử lý tệp chỉ đọc. Nếu có những tệp như vậy trên máy bị nhiễm, thì ransomware sẽ không mã hóa chúng. Nó sẽ chỉ tạo một bản sao được mã hóa của mỗi tệp gốc, trong khi bản thân các tệp gốc chỉ nhận được “ẩnThuộc tính ”. Khi điều này xảy ra, thật đơn giản để tìm chúng và khôi phục các thuộc tính bình thường của chúng.
- Các nhà phát triển ransomware đã mắc rất nhiều lỗi và chất lượng mã rất thấp.
- Nếu bạn đã bị nhiễm phần mềm tống tiền WannaCry, rất có thể bạn sẽ khôi phục được nhiều tệp trên máy tính bị ảnh hưởng.
- Để khôi phục tệp, bạn có thể sử dụng các tiện ích miễn phí có sẵn để khôi phục tệp.
Bài viết gốc nguồn
