عواقب اشتباهات مهلک واناکرای در بازیابی فایل های آلوده
همچنان این امکان وجود دارد که موج دوم حملات جهانی بسیار گسترده ای در راه باشد، چراکه سرور مسدود کردن پیام یا SMB تنها پروتکل شبکهای نیست که دارای اکسپلویتهای روز صفر است که در ماه گذشته توسط گروه Shadow Brokers در اختیار همگان قرار گرفته است.
گویا آی تی – در ماه مارس ۲۰۱۷ مایکروسافت برای برطرف کردن آسیبپذیری SMB در ویندوزهای دارای پشتیبانی، پچهای لازم را منتشر کرد و نسخههای ویندوز از رده خارج شده نیز بلافاصله پس از شایع شدن باجگیر افزار WannaCry مورد حمایت قرار گرفته و پچ های مربوط به آنها نیز منتشر شد. اما این شرکت سه ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نامگذاری شده بودند را نادیده گرفت.
در حال حاضر تقریباً سه هفته از شروع گسترش یافتن باجگیر افزار WannaCry گذشته است که تقریباً ۳۰۰.۰۰۰ کامپیوتر را در ۴۵ کشور و در طی ۷۲ ساعت آلوده کرده است که البته در حال حاضر سرعت گسترش آن کاهش یافته است.
باج افزارواناکرای یک آسیبپذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و به این شیوه به مهاجمان از راه دور این امکان را میدهد که کامپیوترهایی را که دارای سیستمعامل ویندوز پچ نشده هستند تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستمهای پچ نشده گسترش دهند.
با وجودی که این هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در برخی مواقع دچار اشتباه میشوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این بار این اشتباهات میتواند به قربانیان برای دسترسی دوباره به فایل های خود پس از آلودگی کمک کند. این مطلب توصیف کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مقاله به خوشحالی قربانیان بسیاری کمک کند و به دلهرههای شما پایان دهد.
اشتباهات در استدلال حذف فایلها
هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان فایل اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند “WNCRYT” ذخیره می شوند. پس از پروسه ی رمزنگاری آنها از پسوند “WNCRYT” به “WNCRY” تغییر می یابند و همه فایلهای اصلی حذف میشوند. استدلال این حذف شدن فایل ها می تواند بستگی به موقعیت و properties ( مشخصات فایل ها) داشته باشد.
فایلهایی که بر روی هارد سیستم قرار دارند:
اگر که فایل ها در پوشه مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا اسناد هستند)، فایل های اورجینال با رونوشت مجدد قبل از اینکه پاک شوند تغییر داده می شوند. متاسفانه در این مورد هیچ راهی برای بازیابی محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.
اما اگر فایلها در خارج از پوشه های مهم باشند، فایل های اصلی به ” %TEMP%\%d.WNCRYT” (%d در آن نشانگر یک مقدار عددی است) تغییر می کنند. این فایلها حاوی دادههای اصلی و رونوشت مجدد هکرها نیست و به سادگی از دیسک حذف خواهند شد. این بدان معنی است که احتمال بازیابی آنها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.
تغییر نام فایلهای اصلی که میتواند از %TEMP% بازیابی شود.
فایلهایی که بر روی دیگردرایوها ذخیره شدهاند:
باج افزار فولدر “$RECYCLE ” را تولید می کند و قابلیت hidden+system را برای این پوشه قرار میدهد. این کار موجب میشود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، مخفی باقی بماند. در این حالت این بدافزار تصمیم عزیمت به فایلهای اصلی را در دایرکتوری پس از رمز نگاری در سر دارد.
با این حال به دلیل اشتباه هایی که در کدهای نوشته شده باجافزار وجود دارد، فایل های اصلی در همان دایرکتوری باقی میماند و به فولدر ” $RECYCLE” منتقل نخواهد شد.
فایلهای اصلی در شیوه های امن پاک می شوند. و در این مورد هم بازیابی فایل های پاک شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.
ما زمان بسیار زیادی را برای تحلیل و بررسی واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه خطایی به صورت read-only شدیم. در صورتی که چنین فایلهایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده فایل های اصلی ایجاد خواهد شد، در حالی که فایل های اورجینال آنها به صورت مخفی وجود دارند. هنگامی که این رویداد رخ می دهد، پیدا کردن آن ها به راحتی انجام می شود و بازگردانی آن ها به روش های ساده امکان پذیر است.
فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند.
نتیجه گیری
از نتیجه تحقیقات ما در ارتباط با این باج افزار، بدیهی است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله خود داشتهاند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت مناسبی وجود دارد که فایلهای روی کامپیوتر آلوده خود را بازیابی کنید. برای بازگردانی فایل ها، شما میتوانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه میکنیم در صورتیکه ویندوزهای خود را به روزرسانی نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.
راهکارهای لازم برای در امان ماندن مقابل واناکرای
از یک راهکار امنیتی مناسب و مطمئن برای پیشگیری از آسیب های این باجافزار استفاده کنید. و به طور منظم از مهمترین دادههای خود نسخه پشتیبان تهیه کنید.
ازآنجایی که شرکت مایکروسافت هنوز هیچگونه پچای برای این آسیبپذیری منتشر نکرده است، به شرکتها و کاربران عادی اکیدا توصیه میشود تا سیستمعاملهای خود را به سیستمعاملهای جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.
معمولا سیستم عاملهای ویندوزی که برروی رایانهها نصب و استفاده میشود، از نسخههای غیراصلی و غیراورجینال می باشند. این موضوع مشکلات امنیتی و آسیبپذیری زیادی را بهدلیل بهره گیری از کرک و دستکاری ویندوز ایجاد میکند، ضمن اینکه بیشتر این نسخهها امکان دریافت به روزرسانی و پشتیبانی مایکروسافت را ندارند. همانگونه که مشاهده می نمایید حملهای هم که آسیبپذیری ویندوز را مورد هدف قرار داد ناشی از به روز نبودن ویندوزها بود که نهایتا به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر دنیا منجر شد.
از تاریخ ۸ خرداد ماه(به مدت محدود) ایدکو توزیعکننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه همزمان با این رویداد، به کلیه کاربرانی که آنتی ویروس سهکاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز ۱۰ اصلی دو کاربره (بدون محدودیت فعالسازی)، با همکاری کی بازار هدیه می دهد. برای تمام کاربران این فروش کوتاه مدت فرصتی استثنایی و تکرار نشدنی است.