日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
WannaCry的一個(gè)編碼錯(cuò)誤,也許能幫我們恢復(fù)加密文件

卡巴斯基實(shí)驗(yàn)室針對(duì)WannaCry代碼進(jìn)行深入分析,發(fā)現(xiàn)WannaCry里面的各種編碼錯(cuò)誤,這樣一來(lái)感染的人就有可能進(jìn)行文件恢復(fù)了。

就在上個(gè)月,這個(gè)名叫WannaCry的勒索軟件僅在72小時(shí)不到的時(shí)間里通過(guò)其自我傳播功能感染了全球超過(guò)三十萬(wàn)臺(tái)存在漏洞的Windows PC,但這并不意味著WannaCry是一款高質(zhì)量的勒索軟件。

近期,來(lái)自卡巴斯基實(shí)驗(yàn)室的安全研究專家在對(duì)WannaCry的代碼進(jìn)行了深入分析之后發(fā)現(xiàn),WannaCry勒索軟件蠕蟲(chóng)的惡意代碼中存在大量的編碼錯(cuò)誤,而這些編碼錯(cuò)誤將有可能允許用戶恢復(fù)他們被加密的文件。需要注意的是,用戶現(xiàn)在不僅不用花錢去購(gòu)買所謂的解密密鑰,而且還可以使用網(wǎng)上免費(fèi)的恢復(fù)工具和一些簡(jiǎn)單的命令就能夠恢復(fù)自己被鎖定的文件了。

編碼錯(cuò)誤將有可能允許我們恢復(fù)被加密的文件。

卡巴斯基安全實(shí)驗(yàn)室的高級(jí)惡意軟件分析師Anton Ivanov以及他的同事Fedor Sinitsyn和Orkhan Mamedov專門發(fā)布了一篇研究報(bào)告,并在報(bào)告中詳細(xì)描述了WannaCry開(kāi)發(fā)者所犯的幾個(gè)嚴(yán)重的編碼錯(cuò)誤。

一、文件刪除機(jī)制中的邏輯錯(cuò)誤

研究人員表示,WannaCry在對(duì)目標(biāo)文件完成加密之后,會(huì)刪除原始文件,問(wèn)題就出在了這里。簡(jiǎn)單來(lái)說(shuō),WannaCry首先會(huì)對(duì)目標(biāo)文件進(jìn)行重命名并將文件后綴名修改為“.WNCRYT”,然后對(duì)其進(jìn)行加密,最后刪除原始文件。

1. 恢復(fù)只讀文件

實(shí)際上,幾乎很少有惡意軟件能夠直接加密或修改只讀文件,而WannaCry同樣是如此。WannaCry首先會(huì)拷貝目標(biāo)文件,然后再對(duì)文件副本進(jìn)行加密。但需要注意的是,此時(shí)原始文件仍然沒(méi)變,只是被添加了一個(gè)“隱藏”屬性而已,因此用戶只需要調(diào)整這些文件的屬性即可完成文件恢復(fù)。

除此之外,WannaCry有時(shí)在加密完成之后甚至還無(wú)法成功刪除原始文件。

2. 恢復(fù)系統(tǒng)盤中的文件

保存在類似Desktop和Documents這種重要文件中的數(shù)據(jù)在沒(méi)有解密密鑰的情況下是無(wú)法被恢復(fù)的,因?yàn)閃annaCry在刪除它們之前會(huì)使用隨機(jī)數(shù)據(jù)覆蓋原始文件的內(nèi)容。

下圖顯示的是WannaCry在刪除原始文件之前,確定臨時(shí)存放目錄路徑的過(guò)程:

但是研究人員發(fā)現(xiàn),保存在系統(tǒng)盤其他文件夾(非重要文件夾)中的文件是可以從臨時(shí)目錄(例如%TEMP%)中恢復(fù)的,但需要數(shù)據(jù)恢復(fù)軟件的幫助。研究人員表示,原始文件將會(huì)被移動(dòng)到%TEMP%\%d.WNCRYT(%d為數(shù)字值),這些文件中包含了原始數(shù)據(jù),而且數(shù)據(jù)沒(méi)有被覆蓋。

3. 恢復(fù)非系統(tǒng)盤中的文件

研究人員還發(fā)現(xiàn),對(duì)于非系統(tǒng)盤,WannaCry會(huì)創(chuàng)建一個(gè)隱藏的“$RECYCLE”文件夾,并在加密完成之后將原始文件移動(dòng)到這個(gè)文件夾中。因此我們可以通過(guò)訪問(wèn)“$RECYCLE”文件夾來(lái)恢復(fù)這些文件。

除此之外,由于WannaCry代碼中存在的“同步錯(cuò)誤”,在很多情況下原始文件很有可能仍然保留在之前的目錄中,因此用戶也許可以使用數(shù)據(jù)恢復(fù)軟件來(lái)恢復(fù)那些非安全方式刪除的文件。

下圖顯示的是惡意軟件為原始文件構(gòu)建臨時(shí)存儲(chǔ)路徑的過(guò)程:

二、WannaCry受害者的救星:編碼錯(cuò)誤

WannaCry代碼中的這些編碼錯(cuò)誤給廣大受害者們帶來(lái)了希望。法國(guó)安全研究專家Adrien Guinet和Benjamin Delpy開(kāi)發(fā)出了第一款免費(fèi)的WannaCry解密工具-WanaKiwi【下載地址】,這款工具目前適用于Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008。

三、總結(jié)

實(shí)際上,除了上面這些編碼錯(cuò)誤之外,WannaCry的代碼中還存在大量其他的問(wèn)題,而且編碼質(zhì)量也非常差。WannaCry之所以能夠造成如此大的殺傷力,NSA泄漏的永恒之藍(lán)漏洞“功不可沒(méi)“。

現(xiàn)在距離WannaCry事件爆發(fā)已經(jīng)過(guò)去了一個(gè)月了,但此次事件背后的攻擊者其真實(shí)身份至今還沒(méi)有被確認(rèn)。目前,各國(guó)警方和網(wǎng)絡(luò)安全公司仍然在對(duì)WannaCry事件進(jìn)行調(diào)查,但暗網(wǎng)情報(bào)公司Flashpoint近期卻表示,根據(jù)他們的語(yǔ)言分析結(jié)果,他們認(rèn)為此次事件背后的始作俑者很有可能是中國(guó)黑客。


文章題目:WannaCry的一個(gè)編碼錯(cuò)誤,也許能幫我們恢復(fù)加密文件
文章分享:http://www.dlmjj.cn/article/dpjoepp.html