خبر فوری: اشتباهات واناکرای می تواند به بازیابی فایل های آلوده شما کمک کند

13 خرداد 1396 خبر فوری: اشتباهات واناکرای می تواند به بازیابی فایل های آلوده شما کمک کند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)این امکان وجود دارد که موج دوم حملات جهانی بسیار بزرگ در راه باشد، چراکه SMB یا سرور مسدود کردن پیام تنها پروتکل شبکه‌ای نیست که دارای اکسپلویت های روز صفر است که توسط گروه Shadow Brokers در ماه گذشته در اختیار عموم قرار گرفت.

همچنین مایکروسافت پچ های برای برطرف کردن آسیب‌پذیری SMB در ویندوزهای دارای پشتیبانی در ماه مارس 2017 منتشر کرد و نسخه‌های ویندوز از رده خارج شده نیز بلافاصله پس از منتشر شدن باج‌گیر افزار WannaCry مورد حمایت قرار گرفته و پچ ‌های مربوط به آن‌ها منتشر شد. اما این شرکت 3 ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نام‌گذاری شده بودند را نادیده گرفت.

در حال حاضر تقریباً 3 هفته از شروع گسترش باج‌گیر افزار WannaCry گذشته استکه تقریباً 300.000 کامپیوتر را در 450 کشور و در طی 72 ساعت آلوده کرده است که البته الان از سرعت گسترش آن کاسته شده است.

باج‌ افزارواناکرای یک آسیب‌پذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و از این طریق به مهاجمان از راه دور اجازه می‌دهد تا کامپیوترهایی را که دارای سیستم‌عامل ویندوز پچ نشده هستند را تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستم‌های پچ نشده گسترش دهند.

علی رغم اینکه هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در مواقعی دچار اشتباه می شوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این اشتباهات می تواند به قربانیان برای دسترسی مجدد به فایل های خود پس از آلودگی کمک کند. این مقاله شرح کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مطلب به خوشحالی قربانیان بسیاری کمک کند و به دلهره های شما پایان دهد.

اشتباهات در استدلال حذف فایل ها

هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند "WNCRYT" ذخیره می شوند. پس از پروسه ی رمزنگاری آن ها از پسوند "WNCRYT" به "WNCRY" تغییر می یابند و تمام فایل های اورجینال پاک می شوند. استدلال این حذف شدن فایل ها می تواند به موقعیت و properties ( مشخصات فایل ها) بستگی داشته باشد.

فایل هایی که بر روی هارد سیستم قرار دارند:

  • اگر که فایل ها در فولدر مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا مدارک هستند)، فایل های اورجینال با رونوشت دوباره قبل از اینکه حذف شوند تغییر داده می شوند. در این مورد متاسفانه هیچ راهی برای بازگرداندن محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.
  • اما اگر فایل ها در خارج از فولدرهای مهم باشند، فایل های اورجینال به " %TEMP%\%d.WNCRYT" (%d در آن نشانگر یک مقدار عددی است) تغییر می یابند. این فایل ها شامل داده های اورجینال و رونوشت دوباره هکرها نیست و به راحتی از دیسک پاک خواهند شد. این بدان معنی است که احتمال بازگرداندن آن ها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.

تغییر نام فایل های اورجینال که می تواند از %TEMP% بازیابی شود.

فایل هایی که بر روی دیگردرایوها ذخیره شده اند:

  • باج افزار فولدر "$RECYCLE " را ایجاد می کند و ویژگی hidden+system را برای این فولدر قرار می دهد. این عمل باعث می شود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، پنهان باقی بماند. این بدافزار در این هنگام خیال عزیمت به فایل های اورجینال را در دایرکتوری پس از رمز نگاری در سر دارد.
  • با این حال به دلیل خطاهایی که در کدهای نوشته شده ی باج افزار وجود دارد، فایل های اورجینال در همان دایرکتوری باقی می ماند و به فولدر " $RECYCLE" انتقال داده نمی شود.

فایل های اورجینال در روش های امن حذف می شوند. و دراین مورد هم بازیابی فایل های حذف شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.فایل های اورجینالی که می توانند از یک درایو بازیابی شوند مسیری که برای فایل اورجینال به صورت موقت ایجاد می کند

یک قطعه از کدی که در بالا فراخوانی شد

اشتباه در پردازش فایل های Read-only

ما زمان بسیار زیادی را برای آنالیز واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه باگی به صورت  read-only شدیم. اگر چنین فایل هایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده ی فایل های اورجینال ایجاد خواهد شد، در حالی که فایل های اورجینال آن ها به صورت پنهان وجود دارند. هنگامی که این اتفاق رخ می دهد، پیدا کردن آن ها به سادگی رخ می دهد و بازگردانی آن ها به روش های آسان امکان پذیر است.

فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند

نتیجه گیری

از عمق پژوهش های ما در رابطه با این باج افزار، روشن است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله ی خود داشته اند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت خوبی وجود دارد که فایل های روی کامپیوتر آلوده ی خود را بازیابی کنید. برای بازیابی فایل ها، شما می توانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه می کنیم در صورتیکه ویندوزهای خود را آپدیت نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.

راهکار های لازم برای در امان ماندن مقابل واناکرای

  • از یک راهکار امنیتی خوب و مطمئن برای مقابله با این باج افزار استفاده کنید. و به طور منظم از مهمترین داده های خود بک آپ بگیرید.
  • ازآنجاکه مایکروسافت هنوز هیچ‌گونه پچ ای برای این آسیب‌پذیری منتشر نکرده است، به شرکت‌ها و کاربران عادی شدیداً توصیه می‌شود تا سیستم‌عامل‌های خود را به سیستم‌عامل‌های جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.
  • معمولا سیستم عامل‌های ویندوزی که برروی رایانه‌ها استفاده می‌شود، از نسخه‌های غیراصلی و غیراورجینال هستند. این موضوع مشکلات امنیتی و آسیب‌پذیری زیادی را به‌دلیل استفاده از کرک و دستکاری ویندوز ایجاد می‌کند، ضمن اینکه اکثر این نسخه‌ها امکان دریافت آپدیت‌ها و پشتیبانی مایکروسافت را ندارند. همانطور که مشاهده می کنید حمله ای هم که آسیب پذیری ویندوز را مورد هدف قرار داد ناشی از آپدیت نبودن ویندوزها بود که سرانجام به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر جهلان منجر شد.
  • همزمان با این رویداد، ایدکو توزیع‌کننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه از تاریخ 8 خرداد ماه(به مدت محدود) به تمام کاربرانی که آنتی ویروس سه‌کاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز 10 اورجینال دو کاربره(بدون محدودیت فعالسازی)، با همکاری کی بازارهدیه می دهد. این فروش کوتاه مدت برای تمام کاربران فرصتی استثنایی و تکرار نشدنی است. برای خرید از این فروش ویژه به این قسمت مراجعه کنید.

  منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد