عواقب اشتباهات مهلک واناکرای در بازیابی فایل های آلوده

عواقب اشتباهات مهلک واناکرای در بازیابی فایل های آلوده
  • ۱۳۹۶/۰۳/۱۸
  • محمدرضا مرتضایی
  • 0

همچنان این امکان وجود دارد که موج دوم حملات جهانی بسیار گسترده ای در راه باشد، چراکه سرور مسدود کردن پیام یا SMB تنها پروتکل شبکه‌ای نیست که دارای اکسپلویت‌های روز صفر است که در ماه گذشته توسط گروه Shadow Brokers در اختیار همگان قرار گرفته است.

گویا آی تی – در ماه مارس ۲۰۱۷ مایکروسافت برای برطرف کردن آسیب‌پذیری SMB در ویندوزهای دارای پشتیبانی، پچ‌های لازم را منتشر کرد و نسخه‌های ویندوز از رده خارج شده نیز بلافاصله پس از شایع شدن باج‌گیر افزار WannaCry مورد حمایت قرار گرفته و پچ ‌های مربوط به آن‌ها نیز منتشر شد. اما این شرکت سه ابزار تهاجم دیگر را که توسط NSA منتشر شده بود و EnglishmanDentist، EsteemAudit و ExplodingCan نام‌گذاری شده بودند را نادیده گرفت.
در حال حاضر تقریباً سه هفته از شروع گسترش یافتن باج‌گیر افزار WannaCry گذشته است که تقریباً ۳۰۰.۰۰۰ کامپیوتر را در ۴۵ کشور و در طی ۷۲ ساعت آلوده کرده است که البته در حال حاضر سرعت گسترش آن کاهش یافته است.

باج‌ افزارواناکرای یک آسیب‌پذیری روز صفر در بخش SMB در ویندوز را اکسپلویت کرده و به این شیوه به مهاجمان از راه دور این امکان را می‌دهد که کامپیوترهایی را که دارای سیستم‌عامل ویندوز پچ نشده هستند تحت کنترل خود درآورده و سپس خود را توسط قابلیت wormable به دیگر سیستم‌های پچ نشده گسترش دهند.
با وجودی که این هکرها افرادی باهوش و خبره هستند اما گاهی اوقات در برخی مواقع دچار اشتباه می‌شوند و این بار هم در مورد کدهای واناکرای، این باج افزار قدرتمند دچار اشتباه شده است. این بار این اشتباهات می‌تواند به قربانیان برای دسترسی دوباره به فایل های خود پس از آلودگی کمک کند. این مطلب توصیف کوتاهی از چندین خطا است که توسط توسعه دهندگان باج افزار واناکرای ساخته شده بود. شاید این مقاله به خوشحالی قربانیان بسیاری کمک کند و به دلهره‌های شما پایان دهد.

اشتباهات در استدلال حذف فایل‌ها
هنگامی که واناکرای فایل های قربانیان را رمزنگاری می کند، آن را از فایل اورجینال یا همان فایل اصلی می خواند و محتوا به طور کل رمزنگاری می شود و تمام فایل ها با پسوند “WNCRYT” ذخیره می شوند. پس از پروسه ی رمزنگاری آنها از پسوند “WNCRYT” به “WNCRY” تغییر می یابند و همه فایل‌های اصلی حذف می‌شوند. استدلال این حذف شدن فایل ها می تواند بستگی به موقعیت و properties ( مشخصات فایل ها) داشته باشد.
فایل‌هایی که بر روی هارد سیستم قرار دارند:
اگر که فایل ها در پوشه مهمی باشند ( از نظر توسعه دهندگان بدافزارها فایل های مهم به عنوان مثال در دسکتاپ ذخیره می شوند و آن ها به صورت داکیومنت یا اسناد هستند)، فایل های اورجینال با رونوشت مجدد قبل از اینکه پاک شوند تغییر داده می شوند. متاسفانه در این مورد هیچ راهی برای بازیابی محتویات اصلی فایل های اصلی وجود ندارد چون محتوای آن ها به طور کامل تغییر یافته است.
اما اگر فایل‌ها در خارج از پوشه های مهم باشند، فایل های اصلی به ” %TEMP%\%d.WNCRYT” (%d در آن نشانگر یک مقدار عددی است) تغییر می کنند. این فایل‌ها حاوی داده‌های اصلی و رونوشت مجدد هکرها نیست و به سادگی از دیسک حذف خواهند شد. این بدان معنی است که احتمال بازیابی آنها با استفاده از نرم افزارهای بازیابی اطلاعات وجود خواهد داشت.
تغییر نام فایل‌های اصلی که می‌تواند از %TEMP% بازیابی شود.
فایل‌هایی که بر روی دیگردرایوها ذخیره شده‌اند:
باج افزار فولدر “$RECYCLE ” را تولید می کند و قابلیت hidden+system را برای این پوشه قرار می‌دهد. این کار موجب می‌شود این فولدر در فایل اکسپلورر ویندوز اگر که تنظیمات آن به حالت پیش فرض است، مخفی باقی بماند. در این حالت این بدافزار تصمیم عزیمت به فایل‌های اصلی را در دایرکتوری پس از رمز نگاری در سر دارد.
با این حال به دلیل اشتباه هایی که در کدهای نوشته شده باج‌افزار وجود دارد، فایل های اصلی در همان دایرکتوری باقی می‌ماند و به فولدر ” $RECYCLE” منتقل نخواهد شد.
فایل‌های اصلی در شیوه های امن پاک می شوند. و در این مورد هم بازیابی فایل های پاک شده با استفاده از نرم افزارهای بازیابی اطلاعات وجود دارد.

ما زمان بسیار زیادی را برای تحلیل و بررسی واناکرای اختصاص دادیم اما همزمان با کالبد شکافی این باج افزار متوجه خطایی به صورت read-only شدیم. در صورتی که چنین فایل‌هایی بر روی دستگاه آلوده وجود دارد، باج افزار تمام آن ها را رمزنگاری نخواهد کرد. در اینجا فقط کپی رمزنگاری شده فایل های اصلی ایجاد خواهد شد، در حالی که فایل های اورجینال آنها به صورت مخفی وجود دارند. هنگامی که این رویداد رخ می دهد، پیدا کردن آن ها به راحتی انجام می شود و بازگردانی آن ها به روش های ساده امکان پذیر است.
فایل های Read-only اورجینال رمزنگاری نمی شوند و در همان مکان باقی می مانند.

نتیجه گیری
از نتیجه تحقیقات ما در ارتباط با این باج افزار، بدیهی است که توسعه دهندگان این باج افزار اشتباهات بسیاری را در این حمله خود داشته‌اند. اگر که شما به واناکرای آلوده شده اید، با توجه به توضیحات بالا فرصت مناسبی وجود دارد که فایل‌های روی کامپیوتر آلوده خود را بازیابی کنید. برای بازگردانی فایل ها، شما می‌توانید از ابزارهای رایگان ما استفاده کنید. در عین حال باز هم توصیه می‌کنیم در صورتیکه ویندوزهای خود را به روزرسانی نکرده اید و از چشمان واناکرای غافل مانده اید این کار را سریعا انجام دهید.

راهکارهای لازم برای در امان ماندن مقابل واناکرای
از یک راهکار امنیتی مناسب و مطمئن برای پیشگیری از آسیب های این باج‌افزار استفاده کنید. و به طور منظم از مهمترین داده‌های خود نسخه پشتیبان تهیه کنید.
ازآنجایی که شرکت مایکروسافت هنوز هیچ‌گونه پچ‌ای برای این آسیب‌پذیری منتشر نکرده است، به شرکت‌ها و کاربران عادی اکیدا توصیه می‌شود تا سیستم‌عامل‌های خود را به سیستم‌عامل‌های جدیدتر ارتقا داده تا نسبت به حملات EsteenAudit در امان باشند.
معمولا سیستم عامل‌های ویندوزی که برروی رایانه‌ها نصب و استفاده می‌شود، از نسخه‌های غیراصلی و غیراورجینال می باشند. این موضوع مشکلات امنیتی و آسیب‌پذیری زیادی را به‌دلیل بهره گیری از کرک و دستکاری ویندوز ایجاد می‌کند، ضمن اینکه بیشتر این نسخه‌ها امکان دریافت به روزرسانی و پشتیبانی مایکروسافت را ندارند. همانگونه که مشاهده می نمایید حمله‌ای هم که آسیب‌پذیری ویندوز را مورد هدف قرار داد ناشی از به روز نبودن ویندوزها بود که نهایتا به آلودگی هزاران کامپیوتر خانگی و سازمان ها در سراسر دنیا منجر شد.
از تاریخ ۸ خرداد ماه(به مدت محدود) ایدکو توزیع‌کننده آنلاین محصولات کسپرسکی در ایران و خاورمیانه همزمان با این رویداد، به کلیه کاربرانی که آنتی ویروس سه‌کاربره دوساله کسپرسکی را تهیه نمایند، بدون قرعه کشی یک لایسنس ویندوز ۱۰ اصلی دو کاربره (بدون محدودیت فعالسازی)، با همکاری کی بازار هدیه می دهد. برای تمام کاربران این فروش کوتاه مدت فرصتی استثنایی و تکرار نشدنی است.

دیدگاه خود را وارد کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *