Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

www.tuoitre.vn -   05/06/2017 11:00:00 4085

Không phải ai cũng hoàn hảo và hacker cũng không phải là ngoại lệ. Thỉnh thoảng, các nhà phát triển mã độc cũng mắc những lỗi sai trong chính mã độc của mình. Các chuyên gia bảo mật của Kaspersky Lab đã tìm ra những lỗi sai trên mã độc WannaCry, nhờ đó mà nạn nhân có thể phục hồi được dữ liệu sau khi mã hóa. Đây hẳn là một tin vui cho nạn nhân của WannaCry nói riêng và người dùng công nghệ nói chung. - theo Secure List.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Lỗi ngay trong logic xóa dữ liệu

Khi WannaCry mã hóa dữ liệu của nạn nhân, chúng sẽ đọc từ tập tin gốc, mã hóa nội dung và lưu chúng dưới định dạng “.WNCRYT”. Sau khi mã hóa, mã độc chuyển “.WNCRYT” thành “.WNCRY” và xóa tập tin gốc. Logic xóa tập tin có thể phụ thuộc vào vị trí và thiết lập của các tập tin của nạn nhân.

Tập tin được lưu trong ổ đĩa hệ thống

Nếu tập tin đang lưu ở một thư mục “quan trọng” (theo góc nhìn của nhà phát triển mã độc – như Desktop và Documents), thì tập tin gốc có thể bị chép đè lên bằng một số dữ liệu ngẫu nhiên trước khi bị xóa. Trong trường hợp này thì không có cách nào để khôi phục tập tin gốc.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Nếu tập tin đang lưu ở những thư mục “không quan trọng”, tập tin gốc có thể bị chuyển sang %TEMP%\%d.WNCRYT (với %d biểu thị một giá trị số). Những tập tin này chứa dữ liệu gốc và không bị chép đè lên, chúng chỉ đơn thuần bị xóa khỏi ổ đĩa, do đó khả năng phục hồi chúng bằng cách sử dụng phần mềm phục hồi dữ liệu là rất cao.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc đã bị đổi tên có thể được phục hồi từ %TEMP%

 

Tập tin được lưu ở những ổ đĩa khác

Mã độc sẽ tạo một thư mục “$RECYCLE” và thiết lập tính năng ẩn cho thư mục này. Điều này làm thư mục bị ẩn trong Windows File Explorer nếu người dùng đang xem với cài đặt mặc định. Mã độc dự định sẽ di chuyển các tập tin gốc vào đường dẫn này sau khi mã hóa.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Thủ tục xác định thư mục tạm thời để lưu trữ các tập tin gốc trước khi xóa

Dù sao thì bởi những lỗi trong tính năng đồng bộ của mã độc này trong nhiều trường hợp đã giữ cho các tập tin gốc nằm trong cùng 1 thư mục và không bị chuyển sang $RECYCLE.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có thể được phục hồi từ các ổ đĩa không phải ổ hệ thống (non-system drive)

Các tập tin gốc bị xóa một cách không an toàn. Do đó, các phần mềm phục hồi dữ liệu có khả năng sẽ khôi phục lại được các tập tin đã xóa.

Lỗi xử lý tệp read-only

Trong khi phân tích mã độc WannaCry, các chuyên gia phát hiện ra rằng mã độc này có lỗi trong quá trình xử lý tệp read-only của nó. Nếu những tập tin này trên máy bị lây nhiễm thì sau đó, mã độc sẽ không mã hóa chúng. Mã độc sẽ chỉ tạo một bản sao được mã hóa của tập tin gốc, trong khi tập tin gốc chỉ thay đổi thành thuộc tính ẩn mà thôi. Nếu nạn nhân bị mã hóa, chỉ việc tìm và phục hồi các tập tin này thành trạng thái thuộc tính cũ.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có định dạng read-only không bị mã hóa và ở ngay thư mục cũ

Kết luận

Theo như kết quả nghiên cứu của các chuyên gia bảo mật, rõ ràng mã độc này chứa nhiều lỗi và có chất lượng thấp. Do đó, nếu người dùng đã bị lây nhiễm mã độc này thì khả năng phục hồi lại những dữ liệu trên máy là rất cao. Để phục hồi những tập tin gốc, hãy sử dụng các công cụ phục hồi tập tin đã xóa để tìm lại tập tin gốc.

Chúc bạn thành công.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Tài khoản Microsoft 365 và Gmail đối mặt...

02/04/2024 12:00:00 373
Mặc dù xác thực hai yếu tố (2FA) được xem là phương pháp bảo mật an toàn nhưng bộ công cụ lừa đảo mớ...

Nếu vẫn dùng Windows 10 và muốn cập nhật...

01/04/2024 12:00:00 90
Không phải người dùng nào cũng muốn hoặc có đủ điều kiện để nâng cấp lên Windows 11 hay mua PC mới, ...

Năm công nghệ của Kaspersky để bảo vệ tà...

29/03/2024 08:00:00 447
Tài chính kỹ thuật số của chúng ta dễ bị tấn công bởi tội phạm kỹ thuật số. Hãy cùng xem xét cách cá...

Những ứng dụng Android độc hại núp bóng ...

29/03/2024 12:00:00 382
Nhiều ứng dụng trong số này tuyên bố cung cấp dịch vụ VPN (mạng riêng ảo) miễn phí nên đã có hàng tr...

Giải pháp bảo mật của Kaspersky giành đư...

28/03/2024 08:00:00 52
Vào năm 2023, các sản phẩm và giải pháp của Kaspersky đã tham gia chính xác 100 nghiên cứu độc lập —...

Chatbot AI nào thông minh nhất hiện nay?

28/03/2024 12:00:00 39
ChatGPT bị soán ngôi, không còn là chatbot AI thông minh nhất hiện nay.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ