Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

www.tuoitre.vn -   05/06/2017 11:00:00 3702

Không phải ai cũng hoàn hảo và hacker cũng không phải là ngoại lệ. Thỉnh thoảng, các nhà phát triển mã độc cũng mắc những lỗi sai trong chính mã độc của mình. Các chuyên gia bảo mật của Kaspersky Lab đã tìm ra những lỗi sai trên mã độc WannaCry, nhờ đó mà nạn nhân có thể phục hồi được dữ liệu sau khi mã hóa. Đây hẳn là một tin vui cho nạn nhân của WannaCry nói riêng và người dùng công nghệ nói chung. - theo Secure List.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Lỗi ngay trong logic xóa dữ liệu

Khi WannaCry mã hóa dữ liệu của nạn nhân, chúng sẽ đọc từ tập tin gốc, mã hóa nội dung và lưu chúng dưới định dạng “.WNCRYT”. Sau khi mã hóa, mã độc chuyển “.WNCRYT” thành “.WNCRY” và xóa tập tin gốc. Logic xóa tập tin có thể phụ thuộc vào vị trí và thiết lập của các tập tin của nạn nhân.

Tập tin được lưu trong ổ đĩa hệ thống

Nếu tập tin đang lưu ở một thư mục “quan trọng” (theo góc nhìn của nhà phát triển mã độc – như Desktop và Documents), thì tập tin gốc có thể bị chép đè lên bằng một số dữ liệu ngẫu nhiên trước khi bị xóa. Trong trường hợp này thì không có cách nào để khôi phục tập tin gốc.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Nếu tập tin đang lưu ở những thư mục “không quan trọng”, tập tin gốc có thể bị chuyển sang %TEMP%\%d.WNCRYT (với %d biểu thị một giá trị số). Những tập tin này chứa dữ liệu gốc và không bị chép đè lên, chúng chỉ đơn thuần bị xóa khỏi ổ đĩa, do đó khả năng phục hồi chúng bằng cách sử dụng phần mềm phục hồi dữ liệu là rất cao.

Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc đã bị đổi tên có thể được phục hồi từ %TEMP%

 

Tập tin được lưu ở những ổ đĩa khác

Mã độc sẽ tạo một thư mục “$RECYCLE” và thiết lập tính năng ẩn cho thư mục này. Điều này làm thư mục bị ẩn trong Windows File Explorer nếu người dùng đang xem với cài đặt mặc định. Mã độc dự định sẽ di chuyển các tập tin gốc vào đường dẫn này sau khi mã hóa.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Thủ tục xác định thư mục tạm thời để lưu trữ các tập tin gốc trước khi xóa

Dù sao thì bởi những lỗi trong tính năng đồng bộ của mã độc này trong nhiều trường hợp đã giữ cho các tập tin gốc nằm trong cùng 1 thư mục và không bị chuyển sang $RECYCLE.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có thể được phục hồi từ các ổ đĩa không phải ổ hệ thống (non-system drive)

Các tập tin gốc bị xóa một cách không an toàn. Do đó, các phần mềm phục hồi dữ liệu có khả năng sẽ khôi phục lại được các tập tin đã xóa.

Lỗi xử lý tệp read-only

Trong khi phân tích mã độc WannaCry, các chuyên gia phát hiện ra rằng mã độc này có lỗi trong quá trình xử lý tệp read-only của nó. Nếu những tập tin này trên máy bị lây nhiễm thì sau đó, mã độc sẽ không mã hóa chúng. Mã độc sẽ chỉ tạo một bản sao được mã hóa của tập tin gốc, trong khi tập tin gốc chỉ thay đổi thành thuộc tính ẩn mà thôi. Nếu nạn nhân bị mã hóa, chỉ việc tìm và phục hồi các tập tin này thành trạng thái thuộc tính cũ.

 Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Các tập tin gốc có định dạng read-only không bị mã hóa và ở ngay thư mục cũ

Kết luận

Theo như kết quả nghiên cứu của các chuyên gia bảo mật, rõ ràng mã độc này chứa nhiều lỗi và có chất lượng thấp. Do đó, nếu người dùng đã bị lây nhiễm mã độc này thì khả năng phục hồi lại những dữ liệu trên máy là rất cao. Để phục hồi những tập tin gốc, hãy sử dụng các công cụ phục hồi tập tin đã xóa để tìm lại tập tin gốc.

Chúc bạn thành công.

Minh Hương

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 21
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 27
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 23
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 22
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 23
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 27
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ