امکان بازیابی فایل‌ها به دلیل وجود خطاهای برنامه‌نویسی در WannaCry

به گزارش شرکت مهندسی شبکه گستر، بررسی محققان نشان می‌دهد در کدنویسی باج‌افزار WannaCry خطاهای ناشیانه‌ای به چشم می‌خورد که امید به بازیابی فایل‌های رمز شده توسط این باج‌افزار را بدون نیاز به کلید رمزگشایی قوت می‌بخشد.

بر اساس گزارشی که 11 خرداد ماه شرکت Kaspersky Lab آن را منتشر کرد باج‌افزار WannaCry حاوی دو آسیب‌پذیری حیاتی است.

نخستین ضعف مربوط به خطاهایی در منطق کدنویسی آن بخش از باج‌افزار است که وظیفه آن رونویسی و حذف فایل‌های قربانی از روی دیسک سخت است. WannaCry فایل‌های با پسوندهای رایج را رمزگذاری کرده و پسوند WNCRY. را به آنها الصاق می‌کند.

در صورتی که فایل در یکی از پوشه‌های Desktop و Documents باشد، WannaCry پس از رمزگذاری، فایل اصلی را رونویسی کرده و سپس اقدام به حذف آن می‌کند. با انجام رونویسی و سپس حذف آن، عملاً امکان بازیابی فایل غیرممکن می‌شود.

اما به گفته این محققان، فرآیند رونویسی در خصوص فایل‌های در پوشه های دیگر انجام نشده و پس از انجام عملیات رمزگذاری، فایل اصلی فقط حذف می‌شود. بدیهی است که بدون رونویسی احتمال بازیابی فایل از طریق ابزارهای بازگردانی فایل بسیار بالا می‌رود.

لازم به ذکر است بر اساس این گزارش، این باج‌افزار پوشه‌ای مخفی با نام RECYCLE$ ایجاد می‌گردد که WannaCry از آن به‌منظور انتقال نسخه اصلی فایل‌ها پس از رمزگذاری آنها استفاده می‌کند.

اما باز هم به دلیل وجود خطاهایی در کدنویسی این باج‌افزار در بسیاری موارد انتقال انجام نشده و فایل اصلی در همان پوشه اصلی حذف می‌شود.

به گزارش شرکت مهندسی شبکه گستر، ضعف دیگر این باج‌افزار عدم توانایی آن در حذف فایل‌های با ویژگی فقط خواندنی است. WannaCry فایل‌های فقط خواندنی را صرفاً مخفی کرده و نسخه‌ای رمزگذاری شده از آنها را ایجاد می‌کند. بنابراین بازگردانی این نوع فایل‌ها فقط با تغییر خاصیت آنها ممکن خواهد شد.

پیش‌تر نیز یک محقق امنیتی موفق به ساخت ابزاری برای رمزگشایی فایل‌های رمز شده توسط WannaCry، شده بود که البته فقط در شرایط خاص و بر روی برخی از سیستم‌های عامل کارآمد گزارش شده است.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *