2017 年 6 月 6 日

WannaCry 勒索軟件存在編碼錯誤,即使在感染後也能幫助您恢復文件

2017年XNUMX月, WannaCry,勒索軟件 它可能在短短 300,000 小時內襲擊了 150 個國家/地區的近 72 萬台電腦,從而在全世界範圍內造成了嚴重破壞,但這並不意味著它是一款高質量的勒索軟件。 是的,安全研究人員 卡巴斯基實驗室 最近發現 WannaCrypt 勒索軟件蠕蟲代碼中存在一些編程錯誤。

WannaCrypt 勒索軟件代碼中的這些編程錯誤可能會讓一些受害者 使用公開的免費恢復工具甚至簡單的命令來恢復鎖定的文件,而無需支付任何解密密鑰。

卡巴斯基實驗室高級惡意軟件分析師Anton Ivanov 與同事Fedor Sinitsyn 和Orkhan Mamedov 在深入研究該惡意軟件後,詳細介紹了WannaCry 開發人員犯下的三個嚴重錯誤,這些錯誤可能使系統管理員能夠恢復可能丟失的文件。

研究人員表示,問題在於惡意軟件執行加密的方式。

“當 Wannacry 加密受害者的文件時,它會讀取原始文件,加密內容並將其保存到擴展名為“.WNCRYT”的文件中。 加密後,它將“.WNCRYT”移動到“.WNCRY”並刪除原始文件。 這種刪除邏輯可能會根據受害者文件的位置和屬性而有所不同。”

WannaCry 會復製文件並創建其加密副本,因為惡意軟件不可能直接加密或修改只讀文件。 雖然原始文件保持不變,但被賦予“隱藏”屬性,但取回原始數據只需要受害者恢復其正常屬性。

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

從系統驅動器(即C盤)恢復文件

研究人員表示,如果沒有解密密鑰,存儲在“重要文件夾”(例如“桌面”或“文檔”文件夾)中的文件將無法恢復,因為WannaCry 的設計是在刪除之前用隨機數據覆蓋原始文件。

WannaCry 勒索軟件存在編碼錯誤,即使在感染後也能幫助您恢復文件 (1)
重命名了可以從 %TEMP% 恢復的原始文件

然而,研究人員注意到,存儲在系統驅動器上“重要文件夾”之外的其他文件可以使用數據恢復軟件從臨時文件夾中恢復。

“如果文件存儲在‘重要’文件夾之外,則原始文件將被移動到 %TEMP%\%d.WNCRYT(其中 %d 表示數值)。 這些文件包含原始數據並且不會被覆蓋,它們只是從磁盤中刪除,這意味著很有可能使用數據恢復軟件來恢復它們。”

從非系統驅動器恢復文件

據研究人員稱,對於非系統驅動器,WannaCry 勒索軟件會創建一個隱藏的“$RECYCLE”文件夾,如果它具有默認配置,則該文件夾在 Windows 文件資源管理器中是不可見的。 然後,惡意軟件在加密後將原始文件移動到該目錄中。 但是,您只需取消隱藏“$RECYCLE”文件夾即可恢復這些文件。

WannaCry 勒索軟件存在編碼錯誤,即使在感染後也能幫助您恢復文件 (2)
可以從非系統驅動器恢復的原始文件

此外,由於勒索軟件代碼中的“同步錯誤”,在許多情況下,原始文件保留在同一目錄中,並且沒有移至$RECYCLE 中,從而使受害者可以使用可用的數據恢復軟件恢復不安全刪除的文件。

WannaCry 勒索軟件編程錯誤:

卡巴斯基實驗室研究人員發現該勒索軟件在只讀文件處理中存在漏洞。 如果受感染的計算機上存在此類文件,那麼勒索軟件根本不會對它們進行加密。 它只會創建每個原始文件的加密副本,而原始文件本身只會獲得““ 屬性。 當這種情況發生時,很容易找到它們並恢復它們的正常屬性。

WannaCry 勒索軟件存在編碼錯誤,即使在感染後也能幫助您恢復文件 (3)
原始只讀文件未加密並保留在同一位置
  • 勒索軟件開發者犯了很多錯誤,代碼質量非常低。
  • 如果您感染了 WannaCry 勒索軟件,您很有可能能夠恢復受影響計算機上的大量文件。
  • 要恢復文件,您可以使用可用於文件恢復的免費實用程序。

原創文章 資源

關於作者 

切塔尼亞


{“電子郵件”:“電子郵件地址無效”,“ URL”:“網站地址無效”,“必填”:“必填字段缺失”}