Im Monat Mai 2017, WannaCry, eine Ransomware Es mag weltweit verheerende Auswirkungen haben, als es innerhalb von nur 300,000 Stunden fast 150 PCs in 72 Ländern traf, aber das bedeutet nicht, dass es sich um eine hochwertige Ransomware handelte. Ja, Sicherheitsforscher bei Kaspersky Labs haben vor kurzem einige Programmierfehler im Code des Ransomware-Wurms WannaCrypt entdeckt.
Diese Programmierfehler im Code der WannaCrypt-Ransomware könnten einige ihrer Opfer ermöglichen um ihre gesperrten Dateien mit öffentlich verfügbaren kostenlosen Wiederherstellungstools oder sogar mit einfachen Befehlen wiederherzustellen, ohne für einen Entschlüsselungsschlüssel zu bezahlen.
Anton Ivanov, Senior Malware Analyst bei Kaspersky Lab, sowie die Kollegen Fedor Sinitsyn und Orkhan Mamedov haben nach eingehender Untersuchung der Malware drei kritische Fehler von WannaCry-Entwicklern detailliert beschrieben, die es Systemen ermöglichen könnten, möglicherweise verlorene Dateien wiederherzustellen.
Laut den Forschern liegt das Problem in der Art und Weise, wie die Malware die Verschlüsselung vornimmt.
„Wenn Wannacry die Dateien seines Opfers verschlüsselt, liest es aus der Originaldatei, verschlüsselt den Inhalt und speichert ihn in der Datei mit der Erweiterung „.WNCRYT“. Nach der Verschlüsselung verschiebt es „.WNCRYT“ in „.WNCRY“ und löscht die Originaldatei. Diese Löschlogik kann je nach Speicherort und Eigenschaften der Dateien des Opfers variieren.“
WannaCry kopiert die Dateien und erstellt ihre verschlüsselten Kopien, da es einer bösartigen Software nicht möglich ist, schreibgeschützte Dateien direkt zu verschlüsseln oder zu ändern. Während die Originaldateien unberührt bleiben, aber ein "verstecktes" Attribut erhalten, müssen die Opfer lediglich ihre normalen Attribute wiederherstellen, um die Originaldaten zurückzubekommen.
https://alltechbuzz.mejordescarga.net/fix-wannacrypt-ransomware-backdoor/
Wiederherstellen von Dateien vom Systemlaufwerk (dh Laufwerk C)
Laut Forschern können Dateien, die in den "wichtigen Ordnern" wie dem Desktop- oder Dokumentenordner gespeichert sind, nicht ohne den Entschlüsselungsschlüssel wiederhergestellt werden, da WannaCry so konzipiert wurde, dass Originaldateien vor dem Entfernen mit zufälligen Daten überschrieben werden.
Die Forscher stellten jedoch fest, dass andere Dateien, die außerhalb von „wichtigen Ordnern“ auf dem Systemlaufwerk gespeichert sind, mithilfe einer Datenwiederherstellungssoftware aus dem temporären Ordner wiederhergestellt werden können.
„Wenn die Datei außerhalb von 'wichtigen' Ordnern gespeichert ist, wird die Originaldatei nach %TEMP%\%d.WNCRYT verschoben (wobei %d einen numerischen Wert bezeichnet). Diese Dateien enthalten die Originaldaten und werden nicht überschrieben, sie werden einfach von der Festplatte gelöscht, was bedeutet, dass sie mit hoher Wahrscheinlichkeit mit einer Datenwiederherstellungssoftware wiederhergestellt werden können.“
Wiederherstellen von Dateien von den Nicht-Systemlaufwerken
Laut Forschern erstellt die WannaCry-Ransomware für Nicht-Systemlaufwerke einen versteckten Ordner "$RECYCLE", der im Windows-Datei-Explorer unsichtbar ist, wenn er eine Standardkonfiguration hat. Die Malware verschiebt dann die Originaldateien nach der Verschlüsselung in dieses Verzeichnis. Sie können diese Dateien jedoch wiederherstellen, indem Sie einfach den Ordner „$RECYCLE“ einblenden.
Aufgrund von „Synchronisierungsfehlern“ im Ransomware-Code bleiben die Originaldateien in vielen Fällen im selben Verzeichnis und werden nicht in $RECYCLE verschoben, sodass Opfer unsicher gelöschte Dateien mit verfügbarer Datenwiederherstellungssoftware wiederherstellen können.
WannaCry Ransomware-Programmierfehler:
Forscher von Kaspersky Lab haben entdeckt, dass diese Ransomware einen Fehler in der schreibgeschützten Dateiverarbeitung aufweist. Wenn sich solche Dateien auf dem infizierten Computer befinden, verschlüsselt die Ransomware sie überhaupt nicht. Es wird nur eine verschlüsselte Kopie jeder Originaldatei erstellt, während die Originaldateien selbst nur das „versteckt“-Attribut. In diesem Fall ist es einfach, sie zu finden und ihre normalen Attribute wiederherzustellen.
- Die Ransomware-Entwickler haben viele Fehler gemacht und die Codequalität ist sehr gering.
- Wenn Sie mit der WannaCry-Ransomware infiziert wurden, besteht eine gute Möglichkeit, dass Sie viele Dateien auf dem betroffenen Computer wiederherstellen können.
- Um Dateien wiederherzustellen, können Sie die kostenlosen Dienstprogramme für die Dateiwiederherstellung verwenden.
Originalartikel Quelle
