Connect with us

technokrata

Felfedték a WannaCry zsarolóvírus gyenge pontjait

Young Asian male frustrated, confused and headache by WannaCry ransomware attack on desktop screen, notebook and smartphone, cyber attack internet security concept

Adatvédelem

Felfedték a WannaCry zsarolóvírus gyenge pontjait

Felfedték a WannaCry zsarolóvírus gyenge pontjait

Avagy hogyan tudom visszaállítani az adataimat egy zsarolóvírusos támadás után?

Néha a zsarolóvírus fejlesztők is hibákat vétenek a munkájukban, mint mindenki más. Ezek a hibák a megírt kódban most segíthetnek abban, hogy az áldozatok visszakapják az eredeti fájljaikat a zsarolóvírus fertőzése után. A Kaspersky Lab szakemberei ismertetik a WannaCry zsarolóvírus fejlesztői által készített kódban található számos hibát azért, hogy segítsenek az áldozatoknak feloldani titkosított fájljaikat.

 

Hibák a fájl-eltávolításban

Amikor a Wannacry titkosítja az áldozatok fájljait, akkor az eredeti fájlból olvas, majd titkosítja az adott  tartalmat, és egy “.WNCRYT” kiterjesztésű fájlba menti. A titkosítás után a “.WNCRYT” átkerül a “.WNCRY” fájlba majd törli az eredeti fájlt. Ez a törlési elv az áldozat fájljainak helyétől és tulajdonságaitól függően változhat.

 

Ha a fájlok a rendszermeghajtón találhatóak

Ha a fájl egy “fontos” mappában található (a kártékony programok fejlesztőinek szempontjából pl. az „Asztal” és/vagy „Dokumentumok” mappában), akkor az eltávolítás előtt az eredeti fájlt felülírják véletlenszerű adatokkal. Ilyen esetekben sajnos nem lehet visszaállítani az eredeti fájl tartalmát.

kasp01

Ha a fájlt a “fontos” mappákon kívül tárolják, akkor az eredeti fájlt áthelyezik: %TEMP%\%d.WNCRYT (ahol a % számértéket jelöl). Ezek a fájlok tartalmazzák az eredeti adatokat, amik nincsenek felülírva és egyszerűen törlik a meghajtóról. Ez azt jelenti, hogy nagy valószínűséggel visszaállíthatóak az eredeti fájlok egy adat-visszaállító szoftver segítségével.

kasp02

Olyan átnevezett eredeti fájlok, amelyek visszaállíthatóak a % TEMP% mappából

Ha a fájlok más meghajtókon találhatóak

A zsarolóvírus létrehozza a “$RECYCLE” mappát, és rejtett rendszer tulajdonságokat állít be ehhez a mappához. Ez a művelet a mappát láthatatlanná teheti a Windows File Explorerben, ha az alapértelmezett konfigurációval rendelkezik. A kártevő szoftverek az eredeti fájlokat a titkosítás után áthelyezik ebbe a könyvtárba.

kasp03

A módszer, amely létrehozza az ideiglenes könyvtárat, amelyben az eltávolítás előtt tárolja az eredeti fájlokat

Ugyanakkor a zsarolóvírus-kód szinkronizálási hibái miatt sokszor az eredeti fájlok ugyanabban a könyvtárban maradnak, és nem kerülnek át $RECYCLE mappába. Az eredeti fájlokat nem törli biztonságosan és ez lehetővé teszi a törölt fájlok visszaállítását egy adat-visszaállító szoftver segítségével.

kasp04

Olyan eredeti fájlok, amelyek visszaállíthatóak egy kiterjesztett partícióról

kasp05

A módszer, amely az eredeti fájl ideiglenes elérési útját alkotja

kasp06

A fenti eljárásokra felszólító kód részlete

Csak olvasható (read-only) fájlok feldolgozási hibái

A WannaCry elemzése során a Kaspersky Lab kutatói észlelték, hogy a zsarolóvírus kódja egy számítógépes programhibával (bug) rendelkezik a csak olvasható fájlok feldolgozásában. Ha vannak ilyen fájlok egy fertőzött gépen, akkor a zsarolóvírus szoftver egyáltalán nem titkosítja azokat. Csupán arra képes, hogy az eredeti fájlok titkosított példányát létrehozza, míg az eredeti fájlok csak “rejtett” attribútumot kapnak. Ha ez történik, akkor egyszerű megtalálni a fájlokat, és visszaállítani a tulajdonságaikat.

kasp07

Az eredeti, csak olvasható (read-only) fájlokat nem titkosítják, ezért elérési helyük változatlan

Következtetések

A zsarolóvírusról szóló mélyreható kutatásokból nyilvánvaló, hogy a fejlesztők sok hibát követtek el, és miként a fenti leírásban részleteztük, a kód minősége nagyon gyenge.

Ha a készülékét vagy a számítógépét megfertőzték  a WannaCry vírussal, akkor úgy tűnik, van lehetőség arra, hogy az eredeti fájlokat visszakapjuk a fertőzött számítógépen. A fájlok visszaállításához használhat ingyenes adat-visszaállító segédprogramokat. Javasoljuk a szervezeteknek, hogy juttassák el ezeket az információkat a WannaCry zsarolóvírusról az IT részlegek felé, hogy mielőbb lehetőségük legyen visszaállítani az értékes adatokat.

További Adatvédelem

Technokrata a Face-en

Tesztek

2018-volkswagen-arteon-photos-and-info-news-car-and-driver-photo-676567-s-original
SAN BERNARDINO, OCTOBER 29: Shipping orders go by on a conveyor belt at Amazon's San Bernardino Fulfillment Center October 29, 2013 in San Bernardino, California. Amazon's 1 million square-foot facility in the hard hit San Bernardino County has created more than 800 jobs at the center. Fulfillment centers are where products sold by other vendors on Amazon.com store their inventory. (Photo by Kevork Djansezian/Getty Images)
20170802_093113

Tesztek

Kipróbáltam a Kingston legújabb SD-kártya olvasóját

2017. augusztus 3. csütörtök
SAMSUNG CSC
SAMSUNG CSC

Mobil tesztek

Teszt: Megvizsgáltuk, milyen az új Honor 8 (video)

2017. május 23. kedd
uobelqc8

Mobil tesztek

Teszt: Megnéztük magunknak a Huawei P10 Plus-t

2017. május 4. csütörtök
SAMSUNG CSC

Laptop tesztek

Teszt: Fujitsu Lifebook U747 – A pehelysúlyú bajnok

2017. április 14. péntek
SAMSUNG CSC

Audió Eszközök

TESZT: iFrogz – Coda Wireless család

2017. április 11. kedd
SAMSUNG CSC

Okosóra tesztek

Teszt: Casio Edifice EQB-600

2017. március 28. kedd
the_english_surgeon_534448a

Alkalmazások, szoftverek

Idegesek leszünk, ha nem tölt fel elég gyorsan a selfie?

2017. február 27. hétfő