卡巴斯基實(shí)驗(yàn)室針對(duì)WannaCry代碼進(jìn)行深入分析,發(fā)現(xiàn)WannaCry里面的各種變成錯(cuò)誤,這樣一來感染的人就有可能進(jìn)行文件恢復(fù)了。
就在上個(gè)月,這個(gè)名叫WannaCry的勒索軟件僅在72小時(shí)不到的時(shí)間里通過其自我傳播功能感染了全球超過三十萬臺(tái)存在漏洞的Windows PC,但這并不意味著WannaCry是一款高質(zhì)量的勒索軟件。
近期,來自卡巴斯基實(shí)驗(yàn)室的安全研究專家在對(duì)WannaCry的代碼進(jìn)行了深入分析之后發(fā)現(xiàn),WannaCry勒索軟件蠕蟲的惡意代碼中存在大量的編碼錯(cuò)誤,而這些編碼錯(cuò)誤將有可能允許用戶恢復(fù)他們被加密的文件。需要注意的是,用戶現(xiàn)在不僅不用花錢去購買所謂的解密密鑰,而且還可以使用網(wǎng)上免費(fèi)的恢復(fù)工具和一些簡(jiǎn)單的命令就能夠恢復(fù)自己被鎖定的文件了。
編碼錯(cuò)誤將有可能允許我們恢復(fù)被加密的文件
卡巴斯基安全實(shí)驗(yàn)室的高級(jí)惡意軟件分析師Anton Ivanov以及他的同事Fedor Sinitsyn和Orkhan Mamedov專門發(fā)布了一篇研究報(bào)告,并在報(bào)告中詳細(xì)描述了WannaCry開發(fā)者所犯的幾個(gè)嚴(yán)重的編碼錯(cuò)誤。
文件刪除機(jī)制中的邏輯錯(cuò)誤
研究人員表示,WannaCry在對(duì)目標(biāo)文件完成加密之后,會(huì)刪除原始文件,問題就出在了這里。簡(jiǎn)單來說,WannaCry首先會(huì)對(duì)目標(biāo)文件進(jìn)行重命名并將文件后綴名修改為“.WNCRYT”,然后對(duì)其進(jìn)行加密,最后刪除原始文件。
恢復(fù)只讀文件
實(shí)際上,幾乎很少有惡意軟件能夠直接加密或修改只讀文件,而WannaCry同樣是如此。WannaCry首先會(huì)拷貝目標(biāo)文件,然后再對(duì)文件副本進(jìn)行加密。但需要注意的是,此時(shí)原始文件仍然沒變,只是被添加了一個(gè)“隱藏”屬性而已,因此用戶只需要調(diào)整這些文件的屬性即可完成文件恢復(fù)。
除此之外,WannaCry有時(shí)在加密完成之后甚至還無法成功刪除原始文件。
恢復(fù)系統(tǒng)盤中的文件
保存在類似Desktop和Documents這種重要文件中的數(shù)據(jù)在沒有解密密鑰的情況下是無法被恢復(fù)的,因?yàn)閃annaCry在刪除它們之前會(huì)使用隨機(jī)數(shù)據(jù)覆蓋原始文件的內(nèi)容。
下圖顯示的是WannaCry在刪除原始文件之前,確定臨時(shí)存放目錄路徑的過程:
但是研究人員發(fā)現(xiàn),保存在系統(tǒng)盤其他文件夾(非重要文件夾)中的文件是可以從臨時(shí)目錄(例如%TEMP%)中恢復(fù)的,但需要數(shù)據(jù)恢復(fù)軟件的幫助。研究人員表示,原始文件將會(huì)被移動(dòng)到%TEMP%\%d.WNCRYT(%d為數(shù)字值),這些文件中包含了原始數(shù)據(jù),而且數(shù)據(jù)沒有被覆蓋。
恢復(fù)非系統(tǒng)盤中的文件
研究人員還發(fā)現(xiàn),對(duì)于非系統(tǒng)盤,WannaCry會(huì)創(chuàng)建一個(gè)隱藏的“$RECYCLE”文件夾,并在加密完成之后將原始文件移動(dòng)到這個(gè)文件夾中。因此我們可以通過訪問“$RECYCLE”文件夾來恢復(fù)這些文件。
除此之外,由于WannaCry代碼中存在的“同步錯(cuò)誤”,在很多情況下原始文件很有可能仍然保留在之前的目錄中,因此用戶也許可以使用數(shù)據(jù)恢復(fù)軟件來恢復(fù)那些非安全方式刪除的文件。
下圖顯示的是惡意軟件為原始文件構(gòu)建臨時(shí)存儲(chǔ)路徑的過程:
WannaCry受害者的救星:編碼錯(cuò)誤
WannaCry代碼中的這些編碼錯(cuò)誤給廣大受害者們帶來了希望。法國安全研究專家Adrien Guinet和Benjamin Delpy開發(fā)出了第一款免費(fèi)的WannaCry解密工具-WanaKiwi【下載地址】,這款工具目前適用于Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008。總結(jié)
實(shí)際上,除了上面這些編碼錯(cuò)誤之外,WannaCry的代碼中還存在大量其他的問題,而且編碼質(zhì)量也非常差。WannaCry之所以能夠造成如此大的殺傷力,NSA泄漏的永恒之藍(lán)漏洞“功不可沒“。現(xiàn)在距離WannaCry事件爆發(fā)已經(jīng)過去了一個(gè)月了,但此次事件背后的攻擊者其真實(shí)身份至今還沒有被確認(rèn)。目前,各國警方和網(wǎng)絡(luò)安全公司仍然在對(duì)WannaCry事件進(jìn)行調(diào)查,但暗網(wǎng)情報(bào)公司Flashpoint近期卻表示,根據(jù)他們的語言分析結(jié)果,他們認(rèn)為此次事件背后的始作俑者很有可能是中國黑客。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 后人工智能時(shí)代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動(dòng)
- 2025年展望:人工智能推動(dòng)IT整合
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長(zhǎng)6.6%
- Fortinet李宏凱:2025年在中國大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過26億美元
- 調(diào)查報(bào)告:AI與云重塑IT格局,77%的IT領(lǐng)導(dǎo)者視網(wǎng)絡(luò)安全為首要挑戰(zhàn)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。