فیسیت

چهره و اخبار فناوری

استفاده از اشتباهات واناکرای

استفاده از اشتباهات واناکرای

هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در مواقعی دچار اشتباه می‌شوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است.

به گزارش فیسیت، به نقل از سایبران، اشتباهات واناکرای می‌تواند به بازیابی فایل‌های آلوده شما کمک کند. با فیسیت همراه باشید.

در حال حاضر تقریباً ۳ هفته از شروع گسترش باج‌گیر افزار WannaCry گذشته است که تقریباً ۳۰۰.۰۰۰ کامپیوتر را در ۴۵۰ کشور و در طی ۷۲ ساعت آلوده کرده است که البته الان از سرعت گسترش آن کاسته شده است. مایکروسافت پچ‌های برای برطرف کردن آسیب‌پذیری SMB در ویندوزهای دارای پشتیبانی در ماه مارس ۲۰۱۷ منتشر کرد و نسخه‌های ویندوز از رده خارج شده نیز بلافاصله پس از منتشر شدن باج‌گیر افزار WannaCry مورد حمایت قرار گرفته و پچ ‌های مربوط به آن‌ها منتشر شد. اما این شرکت ۳ ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نام‌گذاری شده بودند را نادیده گرفت.

این مقاله شرح کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مطلب به خوشحالی قربانیان بسیاری کمک کند و به دلهره‌های شما پایان دهد.

اشتباه در پردازش فایل‌های Read-only

ما زمان بسیار زیادی را برای آنالیز واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه باگی به صورت read-only شدیم. اگر چنین فایل‌هایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده فایل های اورجینال ایجاد خواهد شد، در حالی که فایل های اورجینال آنها به صورت پنهان وجود دارند. هنگامی که این اتفاق رخ می دهد، پیدا کردن آن ها به سادگی رخ می دهد و بازگردانی آن ها به روش های آسان امکان پذیر است.

اشتباهات در استدلال حذف فایل‌ها

هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند "WNCRYT" ذخیره می شوند. پس از پروسه ی رمزنگاری آنها از پسوند "WNCRYT" به "WNCRY" تغییر می یابند و تمام فایل‌های اورجینال پاک می‌شوند. استدلال این حذف شدن فایل ها می تواند به موقعیت و properties ( مشخصات فایل ها) بستگی داشته باشد.

 

 

 

فایل‌هایی که بر روی هارد سیستم قرار دارند:

  • اگر فایل‌ها در خارج از فولدرهای مهم باشند، فایل های اورجینال به " %TEMP%\%d.WNCRYT" (%d در آن نشانگر یک مقدار عددی است) تغییر می‌یابند. این فایل‌ها شامل داده‌های اورجینال و رونوشت دوباره هکرها نیست و به راحتی از دیسک پاک خواهند شد. این بدان معنی است که احتمال بازگرداندن آنها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.
  • اما اگر که فایل ها در فولدر مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا مدارک هستند)، فایل های اورجینال با رونوشت دوباره قبل از اینکه حذف شوند تغییر داده می شوند. در این مورد متاسفانه هیچ راهی برای بازگرداندن محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.

فایل‌هایی که بر روی دیگردرایوها ذخیره شده‌اند:

  • باج افزار فولدر "$RECYCLE " را ایجاد می کند و ویژگی hidden+system را برای این فولدر قرار می‌دهد. این عمل باعث می‌شود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، پنهان باقی بماند. این بدافزار در این هنگام خیال عزیمت به فایل‌های اورجینال را در دایرکتوری پس از رمز نگاری در سر دارد.
  •  با این حال به دلیل خطاهایی که در کدهای نوشته شده باج‌افزار وجود دارد، فایل های اورجینال در همان دایرکتوری باقی می‌ماند و به فولدر " $RECYCLE" انتقال داده نمی شود.
  • فایل‌های اورجینال در روش های امن حذف می شوند و دراین مورد هم بازیابی فایل های حذف شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.

راهکارهای لازم برای در امان ماندن مقابل واناکرای

  •   معمولاً سیستم عامل‌های ویندوزی که برروی رایانه‌ها استفاده می‌شود، از نسخه‌های غیراصلی و غیراورجینال هستند. این موضوع مشکلات امنیتی و آسیب‌پذیری زیادی را به‌دلیل استفاده از کرک و دستکاری ویندوز ایجاد می‌کند، ضمن اینکه اکثر این نسخه‌ها امکان دریافت آپدیت‌ها و پشتیبانی مایکروسافت را ندارند. همانطور که مشاهده می کنید حمله‌ای هم که آسیب‌پذیری ویندوز را مورد هدف قرار داد ناشی از آپدیت نبودن ویندوزها بود که سرانجام به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر جهلان منجر شد.
  •  ازآنجاکه مایکروسافت هنوز هیچ‌گونه پچ‌ای برای این آسیب‌پذیری منتشر نکرده است، به شرکت‌ها و کاربران عادی شدیداً توصیه می‌شود تا سیستم‌عامل‌های خود را به سیستم‌عامل‌های جدیدتر ارتقاء داده تا نسبت به حملات EsteenAudit در امان باشند.
  • از یک راهکار امنیتی خوب و مطمئن برای مقابله با این باج‌افزار استفاده کنید. و به طور منظم از مهمترین داده‌های خود بک آپ بگیرید.
  •   همزمان با این رویداد، ایدکو توزیع‌کننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه از تاریخ ۸ خرداد ماه(به مدت محدود) به تمام کاربرانی که آنتی ویروس سه‌کاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز ۱۰ اورجینال دو کاربره(بدون محدودیت فعالسازی)، با همکاری کی بازارهدیه می دهد. این فروش کوتاه مدت برای تمام کاربران فرصتی استثنایی و تکرار نشدنی است.

نتیجه گیری

از عمق پژوهش‌های ما در رابطه با این باج افزار، روشن است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله خود داشته‌اند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت خوبی وجود دارد که فایل‌های روی کامپیوتر آلوده خود را بازیابی کنید. برای بازیابی فایل ها، شما می‌توانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه می‌کنیم در صورتیکه ویندوزهای خود را آپدیت نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعاً انجام دهید.

 

 

 

 

برچسب‌ها امنیت ,
ساناز بمانی

ساناز بمانی

0 نظر درباره‌ی این پست نوشته شده است.

ثبت نظر