A WannaCry zsaroló kártevő gyenge pontjai miatt néha visszaállíthatók az adatok támadás után

(2017. június 08.)

- Factory Communications PR közleménye nyomán -

A vírusírók is hibáznak és ilyenkor szerencsés esetben az áldozatok visszanyerhetik fájljaikat egy titkosító fertőzés után.

Előfordul néha, hogy a zsaroló kártevőket fejlesztő vírusírók is hibáznak. Ezek a futtatható kódba bekerült programozói bakik szerencsés esetben segíthetnek abban, hogy az áldozatok kerülő úton visszanyerjék az eredeti fájljaikat egy titkosító fertőzés után. Az orosz Kaspersky Lab infobiztonsági cég szakemberei ezért ismertetik az idén tavasszal hírhedtté vált WannaCry zsarolóvírus kódjában eddig talált különféle hibákat, hogy segíthessenek az áldozatoknak feloldani az olvashatatlanná vált fájljaikat.

Megjegyzés: kérjük olvasóinkat, hogy az alábbi cikkben leírtakat alaposan gondolják át és ne tápláljanak hiú reményeket olyan esetekben, amikor a visszaállításra a jelenleg elérhető műszaki megoldás sajnos nem ad lehetőséget! A számítástechnikában kevésbé jártas felhasználóknak mindenképpen azt tanácsoljuk, hogy az adataik esetleges visszanyerése érdekében forduljanak szakemberhez vagy hozzáértő céghez, nehogy helytelen próbálkozással maguk semmisítsék meg az esetleg rejtve még létező adatokat! - VH szerk.

Hibák lehetősége a fájl-eltávolításban

Amikor a WannaCry titkosítja az áldozatok fájljait, akkor az eredeti fájlból olvas, majd titkosítja az adott tartalmat és egy WNCRYT kiterjesztésű másolat fájlba menti. A titkosítás után a WNCRYT fájl átkerül a WNCRY fájlba, majd törli az eredeti fájlt. A törlési művelet elve az áldozat fájljainak helyétől és tulajdonságaitól függően változhat.

Ha a fájlok a rendszermeghajtón találhatók

Ha a titkosítással célba vett fájl a vírusírók által fontosnak tartott valamelyik mappában található, mint amilyen például az Asztal vagy a Dokumentumok mappa, akkor a kártevő az eltávolítás előtt felülírja véletlenszerű adatokkal az eredeti fájlt. Ilyen esetekben sajnos külső tárolón megőrzött biztonsági adatmentés nélkül nem lehet visszaállítani az eredeti fájl tartalmát!

Ha a fájlt a kártevő egy kevésbé fontosnak ítélt mappában találja, akkor az eredeti fájlt áthelyezik a százalékTEMPszázalék visszafelé perjel százalékd.WNCRYT útvonalra (ahol a százalékjel egy számértéket helyettesít). Ezeket az átnevezett fájlokat utána a kártevő egyszerűen törli a meghajtóról, ami a Windows platform esetén mindössze a fájlrendszer bejegyzések felszabadítását jelenti, de a szándékos fizikai felülírásra vélhetően idő-megtakarítási okokból nem kerül sor.

Ezek a fájlok tehát darabokban még jelen vannak a lemez-egységen és tartalmazzák az eredeti adatokat - ami azt jelenti, hogy gyors intézkedés esetén és ha a lemezegység nincs nagyon tele, akkor jó eséllyel visszaállíthatóak az eredeti fájlok egy olyan specialista adat-visszaállító szoftver segítségével, mint például a Recuva vagy más gyártók termékei.

Ha a fájlok más meghajtókon találhatóak

A zsarolóvírus létrehozza a dollárRECYCLE nevű mappát, és Rejtett (Hidden) tulajdonságokat állít be ehhez a mappához. Ez a művelet a mappát láthatatlanná teheti azon felhasználók számára, akik a Windows Intézőt alapértelmezett beállításokkal használják. A WannaCry kártevő a más meghajtóról származó, eredeti fájlokat a titkosítás után áthelyezi ebbe a könyvtárba.

Ugyanakkor a zsarolóvírus programkódjának szinkronizálási hibái miatt, sok esetben az eredeti fájlok ugyanabban a könyvtárban maradnak, vagyis nem kerülnek át a dollárRECYCLE mappába. Az eredeti fájlokat tehát ez a megoldás nem törli végleg, ami lehetővé teheti a törölt fájlok visszaállítását a fentebb említett adat-visszanyerő szoftverek valamelyikének segítségével.

Csak olvasható fájlok feldolgozási hibái

A WannaCry bináris kódját elemző Kaspersky kutatók észlelték, hogy az egy programhibával rendelkezik a csak olvasható (read-only) fájlok feldolgozása tekintetében. Ha ilyen fájlok vannak a fertőzött gépen, akkor a zsaroló kártevő egyáltalán nem titkosítja azokat - csupán arra képes, hogy az eredeti fájlok titkosított példányát létrehozza, míg az eredeti fájlok a helyükön maradva Rejtett (Hidden) attribútumot kapnak. Ebben az esetben valóban egyszerű megtalálni a fájlokat, és visszaállítani a látható tulajdonságaikat.

Cikkünk a következő oldalon folytatódik,
a továbblapozáshoz kérjük kattintson ide!

Következtetések

Az új zsaroló kártevő mélyreható vizsgálata nyilvánvalóvá tette, hogy a vírusírók sok hibát követtek el és miként azt a fenti leírás is mutatja, a kártékony programkód minősége meglehetősen gyenge. Emiatt a WannaCry fertőzött számítógépeken szerencsés esetben megvan a lehetőség arra, hogy az eredeti fájlokat váltságdíj fizetése nélkül visszakapjuk - annak ellenére, hogy a kártevő által alkalmazott erős adat-titkosítást nem sikerült felnyitni.

A fájlok visszaállításához használhatnak ingyenes, bár nagyobb szakértelmet igénylő vagy kereskedelmi forgalomban kapható fizetős és esetleg könnyebben kezelhető adat-visszaállító segédprogramokat. A számítástechnikában kevésbé járatos felhasználóknak azt tanácsoljuk, hogy az adataik visszanyerése érdekében mindenképpen forduljanak szakemberhez - nehogy helytelen próbálkozással maguk semmisítsék meg végleg az amúgy még létező adatokat!

Javasoljuk az üzleti és intézményi szervezeteknek, hogy juttassák el a WannaCry zsaroló kártevőről szóló fenti információkat az IT-biztonsági részlegük felé, hogy mielőbb lehetőségük legyen visszaállítani az esetleg titkosító fertőzés áldozatává vált adataikat.

Megjegyzés: a fenti módszerek kerülő utat jelentenek az adat visszanyerésben, szerencsés esetben alkalmazhatók, de nem minden áldozatnak jelentenek megoldást - sőt csak kevesek számára hozhatnak teljes sikert. A Windows ugyanis arra bátorítja a felhasználókat, hogy a gépen a munkaasztalon vagy a Dokumentumok (Documents) mappa által felajánlott struktúrában rendezve tartsák az adataikat. Ezekre az elterjedt tárolási helyekre azonban a WannaCry kiemelt figyelmet fordít és véletlenszerű bit-sorozattal felülírást végez rajtuk.

Ilyen esetekben sajnos csak külső tárolón megőrzött biztonsági adatmentés birtokában lehet visszaállítani az eredeti tartalmat anélkül, hogy váltságdíjat fizetnénk a vélhetően észak-koreai hackereknek. A WannaCry fertőzés által alkalmazott erős AES adat-titkosítást ugyanis eddig nem sikerült felnyitni és erre a továbbiakban is csekély remény van, anélkül pedig az olvashatatlanná tett tartalom általános esetben nem felnyitható - VH Szerk.