837243bc

Ошибки в WannaCry помогут вернуть закодированные документы

Март 30th, 2024 matkiN133

«Корпорация Касперского» провела основательный тест небезопасного шифровальщика WannaCry и нашла в его архитектуре ошибки, которые помогут отчасти вернуть закодированные документы.


Напоминаем, что 12 июня клиенты и компании во всем мире пострадали от крупной атаки вымогателя. Вредная платформа шифрует документы распространённых форматов и требует выкуп размером 300–600 долларов в биткоинах. Зловред применяет смешанный метод зашифровки RSA+AES, что делает восстановление закодированных документов маловероятным.

Переименованные уникальные документы, которые можно восстановить из директории %TEMP%

Переименованные уникальные документы, которые можно восстановить из директории %TEMP%

Специалисты «Корпорация Касперского» узнали, что в ходе работы зловред разбирает содержание необычного документа, шифрует его и сохраняет в документ с расширением «.WNCRYT». После завершения процесса зашифровки WannaCry перемещает документ с расширением «.WNCRYT» в документ «.WNCRY» и устраняет подлинный документ. При этом разумность операций снятия может изменяться исходя из положения и качеств уникальных документов.

Если документ располагается на десктопе либо в папке «Бумаги», то перед уничтожением поверху него будут записаны невольные данные. Тогда способов восстановить содержание начального документа нет.

При кодировке данных в иных папках уникальные документы передвигаются в директорию %TEMP%%d.WNCRYT, где %d — это числовое значение. Эти документы имеют начальные данные, поверху которых ничего не пишется, — они просто удаляются с диска. Потому есть большая возможность, что уникальные документы будет можно вернуть с помощью программ восстановления данных. Принципиально также обозначить, что начальные документы удаляются опасно — это улучшает возможности на удачное восстановление.

Уникальные документы с обороной от записи не кодируются

Уникальные документы с обороной от записи не кодируются

И более того, в WannaCry находится ошибка обработки документов с обороной от записи. Если на заражённом ПК есть такие документы, то вымогатель их не закодирует вообще: будут сделаны закодированные копии любого такого документа, сами же оригиналы только обретут признак «сокрытый». Тогда их восстановление ничего не стоит.

Опубликовано в рубрике Звук
«
»
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Twitter Delicious Facebook Digg Stumbleupon Favorites More