امکان بازیابی فایلها به دلیل وجود خطاهای برنامهنویسی در WannaCry
به گزارش شرکت مهندسی شبکه گستر، بررسی محققان نشان میدهد در کدنویسی باجافزار WannaCry خطاهای ناشیانهای به چشم میخورد که امید به بازیابی فایلهای رمز شده توسط این باجافزار را بدون نیاز به کلید رمزگشایی قوت میبخشد.
بر اساس گزارشی که 11 خرداد ماه شرکت Kaspersky Lab آن را منتشر کرد باجافزار WannaCry حاوی دو آسیبپذیری حیاتی است.
نخستین ضعف مربوط به خطاهایی در منطق کدنویسی آن بخش از باجافزار است که وظیفه آن رونویسی و حذف فایلهای قربانی از روی دیسک سخت است. WannaCry فایلهای با پسوندهای رایج را رمزگذاری کرده و پسوند WNCRY. را به آنها الصاق میکند.
در صورتی که فایل در یکی از پوشههای Desktop و Documents باشد، WannaCry پس از رمزگذاری، فایل اصلی را رونویسی کرده و سپس اقدام به حذف آن میکند. با انجام رونویسی و سپس حذف آن، عملاً امکان بازیابی فایل غیرممکن میشود.
اما به گفته این محققان، فرآیند رونویسی در خصوص فایلهای در پوشه های دیگر انجام نشده و پس از انجام عملیات رمزگذاری، فایل اصلی فقط حذف میشود. بدیهی است که بدون رونویسی احتمال بازیابی فایل از طریق ابزارهای بازگردانی فایل بسیار بالا میرود.
لازم به ذکر است بر اساس این گزارش، این باجافزار پوشهای مخفی با نام RECYCLE$ ایجاد میگردد که WannaCry از آن بهمنظور انتقال نسخه اصلی فایلها پس از رمزگذاری آنها استفاده میکند.
اما باز هم به دلیل وجود خطاهایی در کدنویسی این باجافزار در بسیاری موارد انتقال انجام نشده و فایل اصلی در همان پوشه اصلی حذف میشود.
به گزارش شرکت مهندسی شبکه گستر، ضعف دیگر این باجافزار عدم توانایی آن در حذف فایلهای با ویژگی فقط خواندنی است. WannaCry فایلهای فقط خواندنی را صرفاً مخفی کرده و نسخهای رمزگذاری شده از آنها را ایجاد میکند. بنابراین بازگردانی این نوع فایلها فقط با تغییر خاصیت آنها ممکن خواهد شد.
پیشتر نیز یک محقق امنیتی موفق به ساخت ابزاری برای رمزگشایی فایلهای رمز شده توسط WannaCry، شده بود که البته فقط در شرایط خاص و بر روی برخی از سیستمهای عامل کارآمد گزارش شده است.
