اشتباهات واناکرای می‌تواند به بازیابی فایل‌های آلوده شما کمک کند

wannacry

این امکان وجود دارد که موج دوم حملات جهانی بسیار بزرگ در راه باشد، چراکه SMB یا سرور مسدود کردن پیام تنها پروتکل شبکه‌ای نیست که دارای اکسپلویت‌های روز صفر است که توسط گروه Shadow Brokers در ماه گذشته در اختیار عموم قرار گرفت.
همچنین مایکروسافت پچ‌های برای برطرف کردن آسیب‌پذیری SMB در ویندوزهای دارای پشتیبانی در ماه مارس ۲۰۱۷ منتشر کرد و نسخه‌های ویندوز از رده خارج شده نیز بلافاصله پس از منتشر شدن باج‌گیر افزار WannaCry مورد حمایت قرار گرفته و پچ ‌های مربوط به آن‌ها منتشر شد. اما این شرکت ۳ ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نام‌گذاری شده بودند را نادیده گرفت.

در حال حاضر تقریباً ۳ هفته از شروع گسترش باج‌گیر افزار WannaCry گذشته است که تقریباً ۳۰۰.۰۰۰ کامپیوتر را در ۴۵۰ کشور و در طی ۷۲ ساعت آلوده کرده است که البته الان از سرعت گسترش آن کاسته شده است.

باج‌ افزارواناکرای یک آسیب‌پذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و از این طریق به مهاجمان از راه دور اجازه می‌دهد تا کامپیوترهایی را که دارای سیستم‌عامل ویندوز پچ نشده هستند را تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستم‌های پچ نشده گسترش دهند.

علی رغم اینکه هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در مواقعی دچار اشتباه می‌شوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این اشتباهات می‌تواند به قربانیان برای دسترسی مجدد به فایل های خود پس از آلودگی کمک کند. این مقاله شرح کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مطلب به خوشحالی قربانیان بسیاری کمک کند و به دلهره‌های شما پایان دهد.

اشتباهات در استدلال حذف فایل‌ها
هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند “WNCRYT” ذخیره می شوند. پس از پروسه ی رمزنگاری آنها از پسوند “WNCRYT” به “WNCRY” تغییر می یابند و تمام فایل‌های اورجینال پاک می‌شوند. استدلال این حذف شدن فایل ها می تواند به موقعیت و properties ( مشخصات فایل ها) بستگی داشته باشد.

فایل‌هایی که بر روی هارد سیستم قرار دارند:
 اگر که فایل ها در فولدر مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا مدارک هستند)، فایل های اورجینال با رونوشت دوباره قبل از اینکه حذف شوند تغییر داده می شوند. در این مورد متاسفانه هیچ راهی برای بازگرداندن محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.

 اما اگر فایل‌ها در خارج از فولدرهای مهم باشند، فایل های اورجینال به ” %TEMP%\%d.WNCRYT” (%d در آن نشانگر یک مقدار عددی است) تغییر می‌یابند. این فایل‌ها شامل داده‌های اورجینال و رونوشت دوباره هکرها نیست و به راحتی از دیسک پاک خواهند شد. این بدان معنی است که احتمال بازگرداندن آنها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.

تغییر نام فایل‌های اورجینال که می‌تواند از %TEMP% بازیابی شود.

فایل‌هایی که بر روی دیگردرایوها ذخیره شده‌اند:
باج افزار فولدر “$RECYCLE ” را ایجاد می کند و ویژگی hidden+system را برای این فولدر قرار می‌دهد. این عمل باعث می‌شود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، پنهان باقی بماند. این بدافزار در این هنگام خیال عزیمت به فایل‌های اورجینال را در دایرکتوری پس از رمز نگاری در سر دارد.

با این حال به دلیل خطاهایی که در کدهای نوشته شده باج‌افزار وجود دارد، فایل های اورجینال در همان دایرکتوری باقی می‌ماند و به فولدر ” $RECYCLE” انتقال داده نمی شود.
فایل‌های اورجینال در روش های امن حذف می شوند. و دراین مورد هم بازیابی فایل های حذف شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.

فایل‌های اورجینالی که می توانند از یک درایو بازیابی شوند

مسیری که برای فایل اورجینال به صورت موقت ایجاد می‌کند 

یک قطعه از کدی که در بالا فراخوانی شد

اشتباه در پردازش فایل‌های Read-only
ما زمان بسیار زیادی را برای آنالیز واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه باگی به صورت read-only شدیم. اگر چنین فایل‌هایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده فایل های اورجینال ایجاد خواهد شد، در حالی که فایل های اورجینال آنها به صورت پنهان وجود دارند. هنگامی که این اتفاق رخ می دهد، پیدا کردن آن ها به سادگی رخ می دهد و بازگردانی آن ها به روش های آسان امکان پذیر است.

فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند

نتیجه گیری
از عمق پژوهش‌های ما در رابطه با این باج افزار، روشن است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله خود داشته‌اند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت خوبی وجود دارد که فایل‌های روی کامپیوتر آلوده خود را بازیابی کنید. برای بازیابی فایل ها، شما می‌توانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه می‌کنیم در صورتیکه ویندوزهای خود را آپدیت نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.

راهکارهای لازم برای در امان ماندن مقابل واناکرای
• از یک راهکار امنیتی خوب و مطمئن برای مقابله با این باج‌افزار استفاده کنید. و به طور منظم از مهمترین داده‌های خود بک آپ بگیرید.

• ازآنجاکه مایکروسافت هنوز هیچ‌گونه پچ‌ای برای این آسیب‌پذیری منتشر نکرده است، به شرکت‌ها و کاربران عادی شدیداً توصیه می‌شود تا سیستم‌عامل‌های خود را به سیستم‌عامل‌های جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.

• معمولا سیستم عامل‌های ویندوزی که برروی رایانه‌ها استفاده می‌شود، از نسخه‌های غیراصلی و غیراورجینال هستند. این موضوع مشکلات امنیتی و آسیب‌پذیری زیادی را به‌دلیل استفاده از کرک و دستکاری ویندوز ایجاد می‌کند، ضمن اینکه اکثر این نسخه‌ها امکان دریافت آپدیت‌ها و پشتیبانی مایکروسافت را ندارند. همانطور که مشاهده می کنید حمله‌ای هم که آسیب‌پذیری ویندوز را مورد هدف قرار داد ناشی از آپدیت نبودن ویندوزها بود که سرانجام به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر جهلان منجر شد.

• همزمان با این رویداد، ایدکو توزیع‌کننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه از تاریخ ۸ خرداد ماه(به مدت محدود) به تمام کاربرانی که آنتی ویروس سه‌کاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز ۱۰ اورجینال دو کاربره(بدون محدودیت فعالسازی)، با همکاری کی بازارهدیه می دهد. این فروش کوتاه مدت برای تمام کاربران فرصتی استثنایی و تکرار نشدنی است. برای خرید از این فروش ویژه به این قسمت مراجعه کنید.

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *