在 2017 年 XNUMX 月, WannaCry,一种勒索软件 当它在短短 300,000 小时内击中 150 个国家/地区的近 72 台 PC 时,它可能在全世界造成了严重破坏,但这并不意味着它是一种高质量的勒索软件。 是的,安全研究人员在 卡巴斯基实验室 最近在 WannaCrypt 勒索软件蠕虫的代码中发现了一些编程错误。
WannaCrypt 勒索软件代码中的这些编程错误可能会导致其一些受害者 使用公开可用的免费恢复工具甚至是简单的命令来恢复他们锁定的文件,而无需支付任何解密密钥。
卡巴斯基实验室高级恶意软件分析师 Anton Ivanov 与同事 Fedor Sinitsyn 和 Orkhan Mamedov 在深入研究恶意软件后,详细介绍了 WannaCry 开发人员犯下的三个严重错误,这些错误可能允许系统管理员恢复可能丢失的文件。
据研究人员称,问题在于恶意软件执行加密的方式。
“当 Wannacry 加密受害者的文件时,它会读取原始文件,加密内容并将其保存到扩展名为“.WNCRYT”的文件中。 加密后,它将“.WNCRYT”移动到“.WNCRY”并删除原始文件。 这种删除逻辑可能会因受害者文件的位置和属性而异。”
WannaCry 复制文件并创建它们的加密副本,因为恶意软件不可能直接加密或修改只读文件。 虽然原始文件保持不变,但被赋予“隐藏”属性,但恢复原始数据只需要受害者恢复其正常属性。
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
从系统驱动器(即 C 盘)恢复文件
据研究人员称,如果没有解密密钥,就无法恢复存储在“重要文件夹”(如桌面或文档文件夹)中的文件,因为 WannaCry 旨在在删除之前用随机数据覆盖原始文件。
但是,研究人员注意到,可以使用数据恢复软件从临时文件夹中恢复存储在系统驱动器上“重要文件夹”之外的其他文件。
“如果文件存储在‘重要’文件夹之外,那么原始文件将被移动到 %TEMP%\%d.WNCRYT(其中 %d 表示一个数值)。 这些文件包含原始数据并且不会被覆盖,它们只是从磁盘中删除,这意味着很有可能使用数据恢复软件来恢复它们。”
从非系统驱动器恢复文件
据研究人员称,对于非系统驱动器,WannaCry Ransomware 会创建一个隐藏的“$RECYCLE”文件夹,如果它具有默认配置,则该文件夹在 Windows 文件资源管理器中是不可见的。 恶意软件然后在加密后将原始文件移动到该目录中。 但是,您可以通过取消隐藏“$RECYCLE”文件夹来恢复这些文件。
此外,由于勒索软件代码中的“同步错误”,在许多情况下,原始文件保留在同一目录中,不会移动到 $RECYCLE 中,从而使受害者可以使用可用的数据恢复软件恢复不安全删除的文件。
WannaCry 勒索软件编程错误:
卡巴斯基实验室研究人员发现,该勒索软件在其只读文件处理方面存在漏洞。 如果受感染机器上存在此类文件,那么勒索软件根本不会对其进行加密。 它只会为每个原始文件创建一个加密副本,而原始文件本身只会获得“隐“ 属性。 发生这种情况时,很容易找到它们并恢复它们的正常属性。
- 勒索软件开发者犯了很多错误,代码质量很低。
- 如果您感染了 WannaCry 勒索软件,您很有可能能够恢复受影响计算机上的大量文件。
- 要恢复文件,您可以使用可用于文件恢复的免费实用程序。
原创文章 资源
