I maj måned 2017 WannaCry, en ransomware kan have forårsaget kaos over hele verden, da det ramte næsten 300,000 pc'er i 150 lande inden for bare 72 timer, men det betyder ikke, at det var et stykke ransomware af høj kvalitet. Ja, sikkerhedsforskere ved Kaspersky Labs har for nylig opdaget nogle programmeringsfejl i koden til WannaCrypt ransomware-ormen.
Disse programmeringsfejl i koden til WannaCrypt ransomware kan tillade nogle af dens ofre at gendanne deres låste filer med offentligt tilgængelige gratis gendannelsesværktøjer eller endda med enkle kommandoer uden at betale for nogen dekrypteringsnøgle.
Anton Ivanov, senior malware-analytiker hos Kaspersky Lab har sammen med kollegaerne Fedor Sinitsyn og Orkhan Mamedov, efter dybt at have undersøgt malware, detaljeret tre kritiske fejl fra WannaCry-udviklere, der kunne give syss mulighed for at gendanne potentielt mistede filer.
Ifølge forskerne ligger spørgsmålet i den måde, malware udfører krypteringen på.
“Når Wannacry krypterer sit offers filer, læser det fra den originale fil, krypterer indholdet og gemmer det i filen med filtypenavnet“ .WNCRYT ”. Efter kryptering flyttes den ".WNCRYT" til ".WNCRY" og sletter den originale fil. Denne sletningslogik kan variere afhængigt af placeringen og egenskaberne for ofrets filer. ”
WannaCry kopierer filerne og opretter deres krypterede kopier, fordi det ikke er muligt for en ondsindet software at direkte kryptere eller ændre skrivebeskyttede filer. Mens de originale filer forbliver uberørte, men får en 'skjult' attribut, kræver det simpelthen, at ofre gendanner deres normale attributter, hvis de originale data tilbage.
https://alltechbuzz.baixarfilmesgratis.info/fix-wannacrypt-ransomware-backdoor/
Gendannelse af filer fra systemdrevet (dvs. C-drev)
Ifølge forskere kan filer, der er gemt i de 'vigtige mapper', som Desktop eller Documents-mappen, ikke gendannes uden dekrypteringsnøglen, fordi WannaCry er designet til at overskrive originale filer med tilfældige data inden fjernelse.
Forskerne bemærkede imidlertid, at andre filer, der er gemt uden for 'vigtige mapper' på systemdrevet, kunne gendannes fra den midlertidige mappe ved hjælp af en datagendannelsessoftware.
“Hvis filen er gemt uden for 'vigtige' mapper, flyttes den originale fil til% TEMP% \% d.WNCRYT (hvor% d angiver en numerisk værdi). Disse filer indeholder de originale data og overskrives ikke, de slettes simpelthen fra disken, hvilket betyder, at der er stor chance for, at det vil være muligt at gendanne dem ved hjælp af datagendannelsessoftware. ”
Gendannelse af filer fra ikke-systemdrev
Ifølge forskere opretter WannaCry Ransomware for ikke-systemdrev en skjult '$ RECYCLE' -mappe, som er usynlig i Windows File Explorer, hvis den har en standardkonfiguration. Malware flytter derefter originale filer til denne mappe efter kryptering. Du kan dog gendanne disse filer bare ved at skjule mappen '$ RECYCLE'.
På grund af “synkroniseringsfejl” i ransomware-koden forbliver de originale filer i mange tilfælde i samme bibliotek og flyttes ikke til $ RECYCLE, hvilket gør det muligt for ofre at gendanne usikkert slettede filer ved hjælp af tilgængelig datagendannelsessoftware.
WannaCry Ransomware-programmeringsfejl:
Kaspersky Lab-forskere har opdaget, at denne ransomware har en fejl i sin skrivebeskyttede filbehandling. Hvis der er sådanne filer på den inficerede maskine, krypterer ransomware slet ikke dem. Det opretter kun en krypteret kopi af hver originalfil, mens de originale filer kun kun får “skjulte”Attribut. Når dette sker, er det nemt at finde dem og gendanne deres normale attributter.
- Ransomware-udviklerne har lavet en masse fejl, og kodekvaliteten er meget lav.
- Hvis du blev inficeret med WannaCry ransomware, er der en god mulighed for, at du vil være i stand til at gendanne mange af filerne på den berørte computer.
- For at gendanne filer kan du bruge de gratis hjælpeprogrammer, der er tilgængelige til filgendannelse.
Original artikel kilde
