Διαφημίσεις Google

                                  
Η Πύλη Της Τεχνολογίας-Gate Of Tech

Η Πύλη Της Τεχνολογίας: Τεχνολογικά Νέα - Επιστήμες - Μαθηματικά – Πληροφορική - Φυσική – Διάστημα – Βιολογία - Ιατρική – Πλανήτης

energo_back

pop_up_face

Διαφημίσεις Google

                                  

Κυριακή, 18 Ιουνίου 2017

Λάθη στον κώδικα του WannaCry


 Λάθη στον κώδικα του WannaCry: Μερικές φορές οι προγραμματιστές του ransomware κάνουν λάθη στο κώδικα Αυτά τα λάθη μπορούν να βοηθήσουν τα θύματα να έχουν ξανά πρόσβαση στα αρχεία τους με την μόλυνση του ransomware. Αυτό το άρθρο είναι μια μικρή περιγραφή με αρκετά λάθη, τα οποία έχουν γίνει απ τους προγραμματιστές του WannaCry ransomware.

Λάθη στην λογική διαγραφής αρχείων....

Όταν ο Wannacry κρυπτογραφεί τα αρχεία του θύματος, διαβάζει απ τα αυθεντικό αρχείο, κρυπτογραφεί το περιεχόμενο και σώζει το αρχείο με επέκταση “.WNCRYT”. Μετά την κρυπτογράφηση το μετατρέπει από “.WNCRYT” σε “.WNCRY” και σβήνει το αυθεντικό αρχείο. Αυτή η λογική διαγραφής διαφέρει ανάλογα με την τοποθεσία και τις ιδιότητες των αρχείων του θύματος.
Αυτά τα αρχεία αποθηκεύονται στο δίσκο του συστήματος
Αν τα αρχεία είναι σε σημαντική τοποθεσία (απ’ την σκοπιά του προγραμματιστή του Malware π.χ. Επιφάνεια Εργασίας και Έγγραφα), τότε το αυθεντικό αρχείο θα αντικατασταθεί με τυχαία δεδομένα πριν την διαγραφή. Σε αυτήν την περίπτωση δεν υπάρχει δυνατότητα επαναφοράς αρχείων και περιεχομένου.


Αν τα αρχεία αποθηκεύονται εκτός των σημαντικών τοποθεσιών – φακέλων, τότε τα αυθεντικά θα μεταφερθούν στο %TEMP%\%d.WNCRYT (όπου %d ένας τυχαίος αριθμός). Αυτά τα αρχεία περιλαμβάνουν τα αυθεντικά δεδομένα και δεν είναι αντικατεστημένα, είναι απλά διαγραμμένα απ τον δίσκο, το οποίο σημαίνει ότι υπάρχει μεγάλη πιθανότητα να ανακτηθούν με λογισμικό ανάκτησης αρχείων (Recovery Software).
Τα αρχεία πού έχουν μετονομαστεί είναι στο φάκελο %TEMP%
Τα αρχεία βρίσκονται σε άλλο δίσκο (εκτός συστήματος):


Το Ransomware δημιουργεί το $RECYCLE” φάκελο και ορίζει κρυφές και ιδιότητες συστήματος σε αυτό το φάκελο. Αυτό κάνει τον φάκελο αόρατο στην εξερεύνηση των Windows αν έχει την προεπιλεγμένη ρύθμιση. Το Μalware μεταφέρει τα αυθεντικά αρχεία σε αυτή την τοποθεσία μετά την κρυπτογράφηση.


Η διαδικασία εντοπίζει την προσωρινή διαδρομή αρχείων να αποθηκεύσει τα αυθεντικά πριν την διαγραφή.
Με δύο λόγια, επειδή ο συγχρονισμός των λαθών στο κώδικα ransomware σε πολλές περιπτώσεις τα αυθεντικά αρχεία μένουν στην ίδια τοποθεσία και δεν μεταφέρονται στο....

Διαβάστε περισσότερα στο: www.secnews.gr