Keresés
Hírek
Elsősegély
 Gyorsmentesítés
 Vírparancsolat
Vírusok és férgek
 Mi a vírus?
 Vírusleírások
 Vírushatározó
 Statisztikák
 Mobilvírusok
Spam és tartalomszűrés
 Mi a spam?
 Mire jó a tartalom és      URLszűrés?
 Fogalmak
 Áttekintés
 Statisztikák
Megoldások
 Mit használjunk?
   Vírusok ellen
   Spamek ellen
   A hatékonyság növelése        érdekében
 Ingyenes próbaverziók
 Jótanácsok
 Vírusirtók tesztje
 Lexikon
Hírlevél
Magazin
 Publikációk
 Háttér
 ITBN 2008
Szakértői rovatok
 Jogi háttér
 Elektronikus aláírás
 Fogyasztóvédelem
Letöltés
 Gyorsmentesítés
 Próbaverziók letöltése
Archívum
Ajánló
Hírlevél
Ha elsőként szeretne tudni a legfrissebb vírusokról és a védekezés módjáról, akkor iratkozzon fel ingyenes heti hírlevelelünkre!
Az Ön e-mail címe:
Főoldal > Hírek






A WannaCry zsaroló kártevő gyenge pontjai miatt néha visszaállíthatók az adatok támadás után

(2017. június 08.)

- Factory Communications PR közleménye nyomán -

A vírusírók is hibáznak és ilyenkor szerencsés esetben az áldozatok visszanyerhetik fájljaikat egy titkosító fertőzés után.
Nyomtatható verzió Nyomtatható verzió  | Küldje el ezt a cikket ismerősének Küldje el ezt a cikket ismerősének

Előfordul néha, hogy a zsaroló kártevőket fejlesztő vírusírók is hibáznak. Ezek a futtatható kódba bekerült programozói bakik szerencsés esetben segíthetnek abban, hogy az áldozatok kerülő úton visszanyerjék az eredeti fájljaikat egy titkosító fertőzés után. Az orosz Kaspersky Lab infobiztonsági cég szakemberei ezért ismertetik az idén tavasszal hírhedtté vált WannaCry zsarolóvírus kódjában eddig talált különféle hibákat, hogy segíthessenek az áldozatoknak feloldani az olvashatatlanná vált fájljaikat.

Megjegyzés: kérjük olvasóinkat, hogy az alábbi cikkben leírtakat alaposan gondolják át és ne tápláljanak hiú reményeket olyan esetekben, amikor a visszaállításra a jelenleg elérhető műszaki megoldás sajnos nem ad lehetőséget! A számítástechnikában kevésbé jártas felhasználóknak mindenképpen azt tanácsoljuk, hogy az adataik esetleges visszanyerése érdekében forduljanak szakemberhez vagy hozzáértő céghez, nehogy helytelen próbálkozással maguk semmisítsék meg az esetleg rejtve még létező adatokat! - VH szerk.

Hibák lehetősége a fájl-eltávolításban

Amikor a WannaCry titkosítja az áldozatok fájljait, akkor az eredeti fájlból olvas, majd titkosítja az adott tartalmat és egy WNCRYT kiterjesztésű másolat fájlba menti. A titkosítás után a WNCRYT fájl átkerül a WNCRY fájlba, majd törli az eredeti fájlt. A törlési művelet elve az áldozat fájljainak helyétől és tulajdonságaitól függően változhat.

Ha a fájlok a rendszermeghajtón találhatók

Ha a titkosítással célba vett fájl a vírusírók által fontosnak tartott valamelyik mappában található, mint amilyen például az Asztal vagy a Dokumentumok mappa, akkor a kártevő az eltávolítás előtt felülírja véletlenszerű adatokkal az eredeti fájlt. Ilyen esetekben sajnos külső tárolón megőrzött biztonsági adatmentés nélkül nem lehet visszaállítani az eredeti fájl tartalmát!

Ha a fájlt a kártevő egy kevésbé fontosnak ítélt mappában találja, akkor az eredeti fájlt áthelyezik a százalékTEMPszázalék visszafelé perjel százalékd.WNCRYT útvonalra (ahol a százalékjel egy számértéket helyettesít). Ezeket az átnevezett fájlokat utána a kártevő egyszerűen törli a meghajtóról, ami a Windows platform esetén mindössze a fájlrendszer bejegyzések felszabadítását jelenti, de a szándékos fizikai felülírásra vélhetően idő-megtakarítási okokból nem kerül sor.

Ezek a fájlok tehát darabokban még jelen vannak a lemez-egységen és tartalmazzák az eredeti adatokat - ami azt jelenti, hogy gyors intézkedés esetén és ha a lemezegység nincs nagyon tele, akkor jó eséllyel visszaállíthatóak az eredeti fájlok egy olyan specialista adat-visszaállító szoftver segítségével, mint például a Recuva vagy más gyártók termékei.

Ha a fájlok más meghajtókon találhatóak

A zsarolóvírus létrehozza a dollárRECYCLE nevű mappát, és Rejtett (Hidden) tulajdonságokat állít be ehhez a mappához. Ez a művelet a mappát láthatatlanná teheti azon felhasználók számára, akik a Windows Intézőt alapértelmezett beállításokkal használják. A WannaCry kártevő a más meghajtóról származó, eredeti fájlokat a titkosítás után áthelyezi ebbe a könyvtárba.

Ugyanakkor a zsarolóvírus programkódjának szinkronizálási hibái miatt, sok esetben az eredeti fájlok ugyanabban a könyvtárban maradnak, vagyis nem kerülnek át a dollárRECYCLE mappába. Az eredeti fájlokat tehát ez a megoldás nem törli végleg, ami lehetővé teheti a törölt fájlok visszaállítását a fentebb említett adat-visszanyerő szoftverek valamelyikének segítségével.

Csak olvasható fájlok feldolgozási hibái

A WannaCry bináris kódját elemző Kaspersky kutatók észlelték, hogy az egy programhibával rendelkezik a csak olvasható (read-only) fájlok feldolgozása tekintetében. Ha ilyen fájlok vannak a fertőzött gépen, akkor a zsaroló kártevő egyáltalán nem titkosítja azokat - csupán arra képes, hogy az eredeti fájlok titkosított példányát létrehozza, míg az eredeti fájlok a helyükön maradva Rejtett (Hidden) attribútumot kapnak. Ebben az esetben valóban egyszerű megtalálni a fájlokat, és visszaállítani a látható tulajdonságaikat.

Cikkünk a következő oldalon folytatódik,
a továbblapozáshoz kérjük kattintson ide!

  |  1/2  |   következő oldal


Partnerünk

Kérdés / Vélemény | GYIK | Sitemap | Impresszum | Jogi feltételek        2004-2011 © Vírushiradó -- 2F 2000 Kft. - Az információ védelmében.