Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
ga

Hibák vannak a WannaCry zsarolóvírusban – Sok fájl visszaállítható

2017.06.08. 11.58
Néha a zsarolóvírus fejlesztők is hibákat vétenek a munkájukban, mint mindenki más. Ezek a hibák a megírt kódban most segíthetnek abban, hogy az áldozatok visszakapják az eredeti fájljaikat a zsarolóvírus fertőzése után. A Kaspersky Lab szakemberei ismertetik a WannaCry zsarolóvírus fejlesztői által készített kódban található számos hibát azért, hogy segítsenek az áldozatoknak feloldani titkosított fájljaikat.

Hibák a fájl-eltávolításban



Amikor a Wannacry titkosítja az áldozatok fájljait, akkor az eredeti fájlból olvas, majd titkosítja az adott tartalmat, és egy .WNCRYT kiterjesztésű fájlba menti. A titkosítás után a .WNCRYT átkerül a .WNCRY fájlba, majd törli az eredeti fájlt. Ez a törlési elv az áldozat fájljainak helyétől és tulajdonságaitól függően változhat.


Ha a fájlok a rendszermeghajtón találhatóak



Ha a fájl egy „fontos” mappában található (a kártékony programok fejlesztőinek szempontjából például az „Asztal” és/vagy „Dokumentumok” mappában), akkor az eltávolítás előtt az eredeti fájlt felülírják véletlenszerű adatokkal. Ilyen esetekben sajnos nem lehet visszaállítani az eredeti fájl tartalmát.



Ha a fájlt a „fontos” mappákon kívül tárolják, akkor az eredeti fájlt áthelyezik: %TEMP%\%d.WNCRYT (ahol a %d számértéket jelöl). Ezek a fájlok tartalmazzák az eredeti adatokat, amik nincsenek felülírva és egyszerűen törlik a meghajtóról. Ez azt jelenti, hogy nagy valószínűséggel visszaállíthatóak az eredeti fájlok egy adat-visszaállító szoftver segítségével.


Olyan átnevezett eredeti fájlok, amik visszaállíthatóak a %TEMP% mappából



Ha a fájlok más meghajtókon találhatóak



A zsarolóvírus létrehozza a $RECYCLE mappát, és rejtett rendszer tulajdonságokat állít be ehhez a mappához. Ez a művelet a mappát láthatatlanná teheti a Windows File Explorerben, ha az alapértelmezett konfigurációval rendelkezik. A kártevő szoftverek az eredeti fájlokat a titkosítás után áthelyezik ebbe a könyvtárba.


A módszer, ami létrehozza az ideiglenes könyvtárat, amiben az eltávolítás előtt tárolja az eredeti fájlokat


Ugyanakkor a zsarolóvírus-kód szinkronizálási hibái miatt sokszor az eredeti fájlok ugyanabban a könyvtárban maradnak, és nem kerülnek át $RECYCLE mappába. Az eredeti fájlokat nem törli biztonságosan és ez lehetővé teszi a törölt fájlok visszaállítását egy adat-visszaállító szoftver segítségével.


Olyan eredeti fájlok, amik visszaállíthatóak egy kiterjesztett partícióról



A módszer, ami az eredeti fájl ideiglenes elérési útját alkotja



A fenti eljárásokra felszólító kód részlete


Csak olvasható (read-only) fájlok feldolgozási hibái



A WannaCry elemzése során a Kaspersky Lab kutatói észlelték, hogy a zsarolóvírus kódja egy számítógépes programhibával (bug) rendelkezik a csak olvasható fájlok feldolgozásában. Ha vannak ilyen fájlok egy fertőzött gépen, akkor a zsarolóvírus szoftver egyáltalán nem titkosítja azokat. Csupán arra képes, hogy az eredeti fájlok titkosított példányát létrehozza, míg az eredeti fájlok csak „rejtett” attribútumot kapnak. Ha ez történik, akkor egyszerű megtalálni a fájlokat, és visszaállítani a tulajdonságaikat.


Az eredeti, csak olvasható (read-only) fájlokat nem titkosítják, ezért elérési helyük változatlan


Következtetések



A zsarolóvírusról szóló mélyreható kutatásokból nyilvánvaló, hogy a fejlesztők sok hibát követtek el, és miként a fenti leírásban részleteztük, a kód minősége nagyon gyenge. Ha a készülékét vagy a számítógépét megfertőzték a WannaCry vírussal, akkor úgy tűnik, van lehetőség arra, hogy az eredeti fájlokat visszakapjuk a fertőzött számítógépen. A fájlok visszaállításához használhat ingyenes adat-visszaállító segédprogramokat.

Javasoljuk a szervezeteknek, hogy juttassák el ezeket az információkat a WannaCry zsarolóvírusról az IT részlegek felé, hogy mielőbb lehetőségük legyen visszaállítani az értékes adatokat.

Október 4‑én lesz az idei Google bemutató
Zuckerberg Tindert csinál a Facebook Messengerből
Itt a Xiaomi Mi Notebook Pro
Google Tez – A hanggal működő mobilfizetési app
Felkapott témák
Figyelem! Feltörték a CCleaner weboldalát, és vírussal fertőzték meg a szoftvert
A legnagyobb torrentoldal kriptopénzt bányásztat a látogatók gépével
Mégsem történt baki az iPhone X bemutatóján?
17 éves Windows-hiba rejtheti el a kártevőket az antivírusok elől
Megjelent az Apple iOS 11!
A Google megvette a HTC-t, de csak egy kicsit
Állásajánlatok
Szoftvertesztelő
Tesztautomatizálási Mérnök – Szeged
Szervizmérnök – Szerszámgépek
Szervizmérnök
MSSQL and IIS L2/L3 System administrator
Support munkatárs német/angol/olasz nyelvtudással
Projektvezető