卡巴斯基实验室针对WannaCry代码进行深刻分析,发明WannaCry琅绫擎的各类编码缺点,如许一来感染的人就有可能进行文件恢复了。
保存在类似Desktop和Documents这种重要文件中的数据在没有解密密钥的情况下是无法被恢复的,因为WannaCry在删除它们之前会应用随机数据覆盖原始文件的内容。
就在上个月,这个名叫WannaCry的勒索软件仅在72小时不到的时光里经由过程其自我传播功能感染了全球跨越三十万台存在马脚的Windows PC,但这并不料味着WannaCry是一款高质量的勒索软件。
近期,来自卡巴斯基实验室的安然研究专家在对WannaCry的代码进行了深刻分析之后发明,WannaCry勒索软件蠕虫的恶意代码中存在大年夜量的编码缺点,而这些编码缺点将有可能许可用户恢复他们被加密的文件。须要留意的是,用户如今不仅不消花钱去购买所谓的解密密钥,并且还可以应用网膳绫氢费的恢复对象和一些简单的敕令就可以或许恢复本身被锁定的文件了。
编码缺点将有可能许可我们恢复被加密的文件。
卡巴斯基安然实验室的高等恶意软件分析师Anton Ivanov以及他的同事Fedor Sinitsyn和Orkhan Mamedov专门宣布了一篇研究申报,并在申报中具体描述了WannaCry开辟者所犯的几个严重的编码缺点。
一、文件删除机制中的逻辑缺点
研究人员表示,WannaCry在对目标文件完成加密之后,会删除原始文件,问题就出在了这里。简单来说,WannaCry起首会对目标文件进行重定名并将文件后缀名修改为“.WNCRYT”,然后对其进行加密,最后删除原始文件。
1. 恢复只读文件
实际上,几乎很少有恶意软件可以或许直接加密或修改只读文件,而WannaCry同样是如斯。WannaCry起首会拷贝目标文件,然后再对文件副本进行加密。但须要留意的是,此时原始文件仍然没变,只是被添加了一个“隐蔽”属性罢了,是以用户只须要调剂这些文件的属性即可完成文件恢复。
除此之外,WannaCry有时在加密完成之后甚至还无法成功删除原始文件。
2. 恢复体系盘中的文件
二、WannaCry受害者的救星:编码缺点
下图显示的是WannaCry在删除原始文件之前,肯定临时存放目次路径的过程:
然则研究人员发明,保存在体系盘其他文件夹(非重要文件夹)中的文件是可以大年夜临时目次(例如%TEMP%)中恢复的,但须要数据恢复软件的赞助。研究人员表示,原始文件将会被移动到%TEMP%\%d.WNCRYT(%d为数字值),这些文件中包含了原始数据,并且数据没有被覆盖。
3. 恢复非体系盘中的文件
研究人员还发明,对于非体系盘,WannaCry会创建一个隐蔽的“$RECYCLE”文件夹,并在加密完成之后将原始文件移动到这个文件夹中。是以我们可以经由过程拜访“$RECYCLE”文件夹来恢复这些文件。
除此之外,因为WannaCry代码中存在的“同步缺点”,在很多情况下原始文件很有可能仍然保存在之前的目次中,是以用户也许可以应用数据恢复软件来恢复那些非安然方法删除的文件。
下图显示的是恶意软件为原始文件构建临时存储路径的过程:
WannaCry代码中的┞封些编码缺点给广大年夜受害者们带来了欲望。法国安然研究专家Adrien Guinet和Benjamin Delpy开辟出了第一款免费的WannaCry解密对象-WanaKiwi【下载地址】,这款对象今朝实用于Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008。
三、总结
实际上,除了膳绫擎这些编码缺点之外,WannaCry的代码中还存在大年夜量其他的问题,并且编码质量也异常差。WannaCry之所以可以或许造成如斯大年夜的杀伤力,NSA泄漏的永恒之蓝马脚“功弗成没“。
如今距离WannaCry事宜爆发已经以前了一个月了,但此次事宜背后的进击者颇┞锋实身份至今还没有被确认。今朝,各国警方和收集安然公司仍然在对WannaCry事宜进行查询拜访,但暗网谍报公司Flashpoint近期却表示,根据他们的说话分析结不雅,他们认为此次事宜背后的始作俑者很有可能是中国黑客。
推荐阅读
mimipenguin 是一个免费、开源、简单然则强大年夜的 shell/python 脚本,用来大年夜当前 Linux 桌面用户转储登录凭证(用户名和暗码),并且已在不合的 Linux 发行版中测试过。别的,它还支撑如:VSFTPd(活泼的 FTP 客>>>详细阅读
本文标题:WannaCry的一个编码错误,也许能帮我们恢复加密文件
地址:http://www.17bianji.com/lsqh/35620.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示