info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بازگردانی فایل‌های WannaCry به خاطر مشکلات کدنویسی

خلاصه: با اینکه باج‌افزار WannaCry بزرگ‌ترین اپیدمی باج‌افزاری تاریخ اینترنت را رقم زد و در طول تنها ۷۲ ساعت بیش از ۳۰۰.۰۰۰ کامپیوتر را آلوده نمود، نمی‌توان به آن لقب قوی‌ترین باج‌افزار را داد. محققان امنیتی شرکت کسپراسکی با تحلیل این باج‌افزار به مشکلاتی در کد‌های پیاده‌سازی باج‌افزار برخورده اند که بازگردانی فایل‌های رمز شده را به سادگی ممکن می‌کند.

در ماه گذشته باج‌افزار WannaCry در کمتر از ۷۲ ساعت بیش از ۳۰۰.۰۰۰ کامپیوتر را آلوده نمود. سرعت رشد بالای آن به خاطر حالت کرم گونه‌ای بود که با استفاده از آسیب پذیری که روی نسخه‌های مختلف ویندوز وجود داشت گسترش می‌یافت. اما این مساله موجب نمی‌شود که WannaCry‌را یک باج‌افزار پیشرفته و با کیفیت! بدانیم.

محققان امنیتی شرکت کسپراسکی به تازگی گزارشی را منتشر نموده‌اند که حکایت از اشتباهات بسیار زیاد در کد‌های این باج‌افزار دارد. این اشتباهات به قربانیان این باج‌افزار این امکان را می‌دهد که فایل‌های خود را بدون نیاز به کلید رمزگشایی و با استفاده از ابزار‌های بازگردانی و ترمیم فایل بازگردانند. این سه اشتباه بزرگ موجب می‌شود که امکان بازگردانی فایل وجود داشته باشد.

اشتباه اول در رمزگزاری فایل‌هایی است که تنها اجازه خواندن دارند. با توجه به اینکه فایل‌هایی که تنها اجازه خواندن دارند را نمی‌توان تغییر داد و یا مستقیما رمز نمود، WannaCry این فایل‌ها را کپی کرده و کدی فایل‌ها را رمز می‌کند؛ این در حالی است که فایل‌های اصلی تنها پنهان (hidden) می‌شوند و بازگردانی این فایل‌ها تنها نیازمند خارج کردن آن‌ها از حالت پنهان است.

با توجه به اینکه WannaCry از دوباره نویسی روی هارد برای عدم بازگردانی فایل‌های پاک شده بهره می‌برد، اما این عملیات فقط در پوشه‌های Desktop و Documents درایو سیستم، درایوی که ویندوز روی آن نصب است، فعال است. بقیه اطلاعات درایو سیستم در یک پوشه کپی می‌شوند و تنها پسوند آن‌ها به .WNCRYT تغییر می‌کند. برای بازگردانی این فایل‌ها کافی است از یک نرم‌افزار بازگردانی فایل استفاده شود.

فایل‌هایی که در درایو‌های غیر درایو سیستم قرار دارند را نیز می‌توان در پوشه پنهان $RECYCLE یافت. باج‌افزار پس از رمز کردن فایل‌ها، فایل‌های اصلی را به این پوشه انتقال می‌دهد و تنها با خارج کردن این پوشه از حالت پنهان می‌توان فایل‌ها را بازگرداند.

البته در مواردی هم به خطر مشکل همگام سازی با سرور فایل‌های اصلی هم در همان مسیر باقی می‌مانند و کاربر می‌تواند با یک برنامه بازگردانی فایل ساده فایل‌های خود را بازگرداند.

این گزارش تحلیلی کسپراسکی پس از فایل رمزگشایی که با تکنیک بازسازی کلید رمزگشایی اقدام به بازگردانی فایل‌های قربانیان می‌کرد نشان داد که نویسندگان WannaCry بر خلاف چیزی که تصور می‌شد همه جنبه‌های تولید باج‌افزار را رعایت نکرده‌اند و علی‌رغم سرعت بالای انتشار این باج‌افزار، مشکلات زیادی در ساختار آن وجود دارد.

تحت نظارت وف ایرانی