Mã độc tống tiền WannaCry: Lỗi lập trình giúp khôi phục tập tin mã hóa sau khi bị nhiễm

08:12 | 15/06/2017 | LỖ HỔNG ATTT

Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một số lỗi lập trình trong mã độc WannaCrypt, có thể cho phép người dùng khôi phục các tập tin bị mã hóa mà không cần mua khóa giải mã của tin tặc. Tuy có tốc độ lây lan rất cao, nhưng WannaCry không hẳn là một mã độc tống tiền quá phức tạp.

Mã độc tống tiền WannaCry: Lỗi lập trình giúp khôi phục tập tin mã hóa sau khi bị nhiễm

Anton Ivanov – chuyên gia cao cấp phân tích phần mềm độc hại của Kaspersky Lab, cùng các đồng nghiệp Fedor Sinitsyn và Orkhan Mamedov đã phát hiện ra rằng, có 3 lỗ hổng quan trọng trong mã lệnh của WannaCry cho phép nạn nhân khôi phục các tập tin đã bị mã hóa bằng các công cụ khôi phục miễn phí, hoặc thậm chí bằng các dòng lệnh đơn giản.

Theo các nhà nghiên cứu, lỗ hổng nằm ở cách WannaCry xóa các tập tin gốc sau khi mã hóa. Nhìn chung, cơ chế mã hóa của WannaCry như sau: đầu tiên, đổi tên các tập tin để thay đổi phần mở rộng sang “.WCRCR”; sau đó, mã hóa các tập tin; cuối cùng, xóa các tập tin gốc.

Khôi phục các tập tin Read-only

Với những tập tin Read-only (chỉ đọc) mà WannaCry không thể trực tiếp mã hóa và sửa đổi, WannaCry sao chép các tập tin này và tạo các bản sao mã hóa mới.

Các tập tin Read-only gốc vẫn nguyên vẹn nhưng đã bị WannaCry cài đặt thuộc tính ẩn. Để lấy lại các tập tin này, nạn nhân chỉ cần khôi phục thuộc tính hiển thị bình thường.

Khôi phục các tập tin trong System Drive ( Ví dụ như ổ đĩa C)

Các tập tin được lưu trữ trong các thư mục quan trọng trên System Drive như Desktop hoặc Documents thì không thể khôi phục mà không cần khóa giải mã của tin tặc, vì WannaCry đã được thiết kế để ghi đè các dữ liệu ngẫu nhiên lên các tập tin gốc trước khi xóa.

Tuy nhiên, các tập tin khác không lưu trữ trên các thư mục quan trọng của System Drive có thể được khôi phục từ thư mục tạm thời Temp bằng các phần mềm khôi phục dữ liệu. Các tập tin gốc, chưa bị ghi đè đã được di chuyển sang %TEMP%\%d.WNCRYT (%d biểu thị một giá trị

Khôi phục tệp từ các ổ đĩa khác

Đối với các ổ đĩa không phải là ổ đĩa hệ thống, WannaCry tạo ra một thư mục '$RECYCLE' ẩn, và di chuyển các tập tin gốc vào thư mục này sau khi mã hóa. Có thể khôi phục lại các tập tin gốc này bằng cách cài đặt hiển thị cho thư mục '$RECYCLE'.

Ngoài ra, do “lỗi đồng bộ hoá” trong mã nguồn của WannaCry, trong nhiều trường hợp, các tập tin gốc vẫn nằm trong thư mục gốc, nên nạn nhân có thể khôi phục các tập tin bị xóa bằng cách sử dụng phần mềm khôi phục dữ liệu.

Các lỗ hổng trong mã nguồn của WannaCry đem lại nhiều hy vọng cho các nạn nhân. Một số công cụ miễn phí có thể giải mã các tập tin bị mã hóa bởi WannaCry cũng đã được một số nhà nghiên cứu cho ra mắt, như WanaKiwi hay WannaKey. Tuy nhiên không phải trường hợp nào cũng có thể sử dụng được. Vì thế, người sử dụng nên tự biết bảo vệ mình bằng các biện pháp phòng chống mã độc tống tiền cơ bản, như sử dụng bức tường lửa, các chương trình Anti-Virus, Internet Security; cập nhật bản mới nhất của hệ điều hành; kiểm tra kỹ các đường liên kết trước khi nhấp chuột; sao lưu các dữ liệu quan trọng….

‹ › ×

Tin liên quan

Lời tự thú của hacker từng 'cứu' Internet

11:00 | 22/05/2020

Ở tuổi 23, Marcus Hutchins được coi là người hùng khi một mình ngăn chặn vụ tấn công mạng nghiêm trọng nhất trong lịch sử - WannaCry. Nhưng rồi cậu đã bị FBI bắt.

67% các tổ chức trên toàn cầu vẫn có thể bị ảnh hưởng bởi WannaCry sau 4 năm

13:00 | 08/06/2021

Theo nghiên cứu mới đây, hơn 2/3 (67%) số tổ chức trên toàn cầu vẫn đang sử dụng giao thức Windows không an toàn. Đây là nguyên nhân chính của các cuộc tấn công mã độc tống tiền khét tiếng WannaCry và NotPetya năm 2017 và 2018.

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Lỗ hổng trong thư viện Aiohttp bị tin tặc khai thác để tấn công mạng

10:00 | 28/03/2024

Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.