Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

www.tuoitre.vn -   05/06/2017 11:00:00 4382

Không phải ai cũng hoàn hảo và hacker cũng không phải là ngoại lệ. Thỉnh thoảng, các nhà phát triển mã độc cũng mắc những lỗi sai trong chính mã độc của mình. Các chuyên gia bảo mật của Kaspersky Lab đã tìm ra những lỗi sai trên mã độc WannaCry, nhờ đó mà nạn nhân có thể phục hồi được dữ liệu sau khi mã hóa. Đây hẳn là một tin vui cho nạn nhân của WannaCry nói riêng và người dùng công nghệ nói chung. - theo Secure List.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Lỗi ngay trong logic xóa dữ liệu

Khi WannaCry mã hóa dữ liệu của nạn nhân, chúng sẽ đọc từ tập tin gốc, mã hóa nội dung và lưu chúng dưới định dạng “.WNCRYT”. Sau khi mã hóa, mã độc chuyển “.WNCRYT” thành “.WNCRY” và xóa tập tin gốc. Logic xóa tập tin có thể phụ thuộc vào vị trí và thiết lập của các tập tin của nạn nhân.

Tập tin được lưu trong ổ đĩa hệ thống

Nếu tập tin đang lưu ở một thư mục “quan trọng” (theo góc nhìn của nhà phát triển mã độc – như Desktop và Documents), thì tập tin gốc có thể bị chép đè lên bằng một số dữ liệu ngẫu nhiên trước khi bị xóa. Trong trường hợp này thì không có cách nào để khôi phục tập tin gốc.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Nếu tập tin đang lưu ở những thư mục “không quan trọng”, tập tin gốc có thể bị chuyển sang %TEMP%\%d.WNCRYT (với %d biểu thị một giá trị số). Những tập tin này chứa dữ liệu gốc và không bị chép đè lên, chúng chỉ đơn thuần bị xóa khỏi ổ đĩa, do đó khả năng phục hồi chúng bằng cách sử dụng phần mềm phục hồi dữ liệu là rất cao.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc đã bị đổi tên có thể được phục hồi từ %TEMP%

 

Tập tin được lưu ở những ổ đĩa khác

Mã độc sẽ tạo một thư mục “$RECYCLE” và thiết lập tính năng ẩn cho thư mục này. Điều này làm thư mục bị ẩn trong Windows File Explorer nếu người dùng đang xem với cài đặt mặc định. Mã độc dự định sẽ di chuyển các tập tin gốc vào đường dẫn này sau khi mã hóa.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Thủ tục xác định thư mục tạm thời để lưu trữ các tập tin gốc trước khi xóa

Dù sao thì bởi những lỗi trong tính năng đồng bộ của mã độc này trong nhiều trường hợp đã giữ cho các tập tin gốc nằm trong cùng 1 thư mục và không bị chuyển sang $RECYCLE.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có thể được phục hồi từ các ổ đĩa không phải ổ hệ thống (non-system drive)

Các tập tin gốc bị xóa một cách không an toàn. Do đó, các phần mềm phục hồi dữ liệu có khả năng sẽ khôi phục lại được các tập tin đã xóa.

Lỗi xử lý tệp read-only

Trong khi phân tích mã độc WannaCry, các chuyên gia phát hiện ra rằng mã độc này có lỗi trong quá trình xử lý tệp read-only của nó. Nếu những tập tin này trên máy bị lây nhiễm thì sau đó, mã độc sẽ không mã hóa chúng. Mã độc sẽ chỉ tạo một bản sao được mã hóa của tập tin gốc, trong khi tập tin gốc chỉ thay đổi thành thuộc tính ẩn mà thôi. Nếu nạn nhân bị mã hóa, chỉ việc tìm và phục hồi các tập tin này thành trạng thái thuộc tính cũ.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có định dạng read-only không bị mã hóa và ở ngay thư mục cũ

Kết luận

Theo như kết quả nghiên cứu của các chuyên gia bảo mật, rõ ràng mã độc này chứa nhiều lỗi và có chất lượng thấp. Do đó, nếu người dùng đã bị lây nhiễm mã độc này thì khả năng phục hồi lại những dữ liệu trên máy là rất cao. Để phục hồi những tập tin gốc, hãy sử dụng các công cụ phục hồi tập tin đã xóa để tìm lại tập tin gốc.

Chúc bạn thành công.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Tác hại của ánh sáng xanh từ màn hình đi...

01/04/2025 12:00:00 306
Nghiên cứu đã tiết lộ những con số đáng báo động về mối liên hệ giữa thói quen nhìn màn hình trước k...

Cảnh báo mã độc phát tán từ những quảng ...

31/03/2025 12:00:00 194
Việc phòng tránh các quảng cáo DeepSeek giả mạo trên Google tương đối đơn giản, bạn có thể theo dõi ...

Trojan độc hại mới Crocodilus lợi dụng k...

28/03/2025 08:00:00 153
Một loại Trojan mới mang tên Crocodilus vừa được phát hiện, lợi dụng các dịch vụ trợ năng trên Andro...

Dân mạng cố lách để cài đặt Windows 11 k...

28/03/2025 12:00:00 181
Vấn đề này phản ánh sự căng thẳng giữa nhu cầu bảo mật của công ty và mong muốn tự do của người dùng...

Kaspersky tiết lộ hơn 500.000 vụ tấn côn...

27/03/2025 08:00:00 367
Theo dữ liệu mới nhất từ công ty an ninh mạng và bảo mật kỹ thuật số toàn cầu Kaspersky, tội phạm mạ...

Lỗi Windows máy in khó chịu nhất năm 202...

27/03/2025 12:00:00 220
Microsoft khuyên bạn nên cài đặt bản cập nhật mới nhất trên thiết bị của mình ngay bây giờ
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button