精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    WannaCry的一個(gè)編碼錯(cuò)誤,也許能幫我們恢復(fù)加密文件

    卡巴斯基實(shí)驗(yàn)室針對(duì)WannaCry代碼進(jìn)行深入分析,發(fā)現(xiàn)WannaCry里面的各種變成錯(cuò)誤,這樣一來感染的人就有可能進(jìn)行文件恢復(fù)了。

    就在上個(gè)月,這個(gè)名叫WannaCry的勒索軟件僅在72小時(shí)不到的時(shí)間里通過其自我傳播功能感染了全球超過三十萬臺(tái)存在漏洞的Windows PC,但這并不意味著WannaCry是一款高質(zhì)量的勒索軟件。

    近期,來自卡巴斯基實(shí)驗(yàn)室的安全研究專家在對(duì)WannaCry的代碼進(jìn)行了深入分析之后發(fā)現(xiàn),WannaCry勒索軟件蠕蟲的惡意代碼中存在大量的編碼錯(cuò)誤,而這些編碼錯(cuò)誤將有可能允許用戶恢復(fù)他們被加密的文件。需要注意的是,用戶現(xiàn)在不僅不用花錢去購買所謂的解密密鑰,而且還可以使用網(wǎng)上免費(fèi)的恢復(fù)工具和一些簡(jiǎn)單的命令就能夠恢復(fù)自己被鎖定的文件了。

    碼錯(cuò)誤將有可能允許我們恢復(fù)被加密的文件

    卡巴斯基安全實(shí)驗(yàn)室的高級(jí)惡意軟件分析師Anton Ivanov以及他的同事Fedor Sinitsyn和Orkhan Mamedov專門發(fā)布了一篇研究報(bào)告,并在報(bào)告中詳細(xì)描述了WannaCry開發(fā)者所犯的幾個(gè)嚴(yán)重的編碼錯(cuò)誤。

    文件刪除機(jī)制中的邏輯錯(cuò)誤

    研究人員表示,WannaCry在對(duì)目標(biāo)文件完成加密之后,會(huì)刪除原始文件,問題就出在了這里。簡(jiǎn)單來說,WannaCry首先會(huì)對(duì)目標(biāo)文件進(jìn)行重命名并將文件后綴名修改為“.WNCRYT”,然后對(duì)其進(jìn)行加密,最后刪除原始文件。

    恢復(fù)只讀文件

    實(shí)際上,幾乎很少有惡意軟件能夠直接加密或修改只讀文件,而WannaCry同樣是如此。WannaCry首先會(huì)拷貝目標(biāo)文件,然后再對(duì)文件副本進(jìn)行加密。但需要注意的是,此時(shí)原始文件仍然沒變,只是被添加了一個(gè)“隱藏”屬性而已,因此用戶只需要調(diào)整這些文件的屬性即可完成文件恢復(fù)。

    除此之外,WannaCry有時(shí)在加密完成之后甚至還無法成功刪除原始文件。

    恢復(fù)系統(tǒng)盤中的文件

    保存在類似Desktop和Documents這種重要文件中的數(shù)據(jù)在沒有解密密鑰的情況下是無法被恢復(fù)的,因?yàn)閃annaCry在刪除它們之前會(huì)使用隨機(jī)數(shù)據(jù)覆蓋原始文件的內(nèi)容。

    下圖顯示的是WannaCry在刪除原始文件之前,確定臨時(shí)存放目錄路徑的過程:

    但是研究人員發(fā)現(xiàn),保存在系統(tǒng)盤其他文件夾(非重要文件夾)中的文件是可以從臨時(shí)目錄(例如%TEMP%)中恢復(fù)的,但需要數(shù)據(jù)恢復(fù)軟件的幫助。研究人員表示,原始文件將會(huì)被移動(dòng)到%TEMP%\%d.WNCRYT(%d為數(shù)字值),這些文件中包含了原始數(shù)據(jù),而且數(shù)據(jù)沒有被覆蓋。

    恢復(fù)非系統(tǒng)盤中的文件

    研究人員還發(fā)現(xiàn),對(duì)于非系統(tǒng)盤,WannaCry會(huì)創(chuàng)建一個(gè)隱藏的“$RECYCLE”文件夾,并在加密完成之后將原始文件移動(dòng)到這個(gè)文件夾中。因此我們可以通過訪問“$RECYCLE”文件夾來恢復(fù)這些文件。

    除此之外,由于WannaCry代碼中存在的“同步錯(cuò)誤”,在很多情況下原始文件很有可能仍然保留在之前的目錄中,因此用戶也許可以使用數(shù)據(jù)恢復(fù)軟件來恢復(fù)那些非安全方式刪除的文件。

    下圖顯示的是惡意軟件為原始文件構(gòu)建臨時(shí)存儲(chǔ)路徑的過程:

    WannaCry受害者的救星:編碼錯(cuò)誤

    WannaCry代碼中的這些編碼錯(cuò)誤給廣大受害者們帶來了希望。法國安全研究專家Adrien Guinet和Benjamin Delpy開發(fā)出了第一款免費(fèi)的WannaCry解密工具-WanaKiwi【下載地址】,這款工具目前適用于Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008。總結(jié)

    實(shí)際上,除了上面這些編碼錯(cuò)誤之外,WannaCry的代碼中還存在大量其他的問題,而且編碼質(zhì)量也非常差。WannaCry之所以能夠造成如此大的殺傷力,NSA泄漏的永恒之藍(lán)漏洞“功不可沒“。現(xiàn)在距離WannaCry事件爆發(fā)已經(jīng)過去了一個(gè)月了,但此次事件背后的攻擊者其真實(shí)身份至今還沒有被確認(rèn)。目前,各國警方和網(wǎng)絡(luò)安全公司仍然在對(duì)WannaCry事件進(jìn)行調(diào)查,但暗網(wǎng)情報(bào)公司Flashpoint近期卻表示,根據(jù)他們的語言分析結(jié)果,他們認(rèn)為此次事件背后的始作俑者很有可能是中國黑客。

    極客網(wǎng)企業(yè)會(huì)員

    免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2017-06-07
    WannaCry的一個(gè)編碼錯(cuò)誤,也許能幫我們恢復(fù)加密文件
    卡巴斯基實(shí)驗(yàn)室針對(duì)WannaCry代碼進(jìn)行深入分析,發(fā)現(xiàn)WannaCry里面的各種變成錯(cuò)誤,這樣一來感染的人就有可能進(jìn)行文件恢復(fù)了。

    長(zhǎng)按掃碼 閱讀全文