Mã độc tống tiền WannaCry: Lỗi lập trình giúp khôi phục tập tin mã hóa sau khi bị nhiễm

08:12 | 15/06/2017 | LỖ HỔNG ATTT

Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một số lỗi lập trình trong mã độc WannaCrypt, có thể cho phép người dùng khôi phục các tập tin bị mã hóa mà không cần mua khóa giải mã của tin tặc. Tuy có tốc độ lây lan rất cao, nhưng WannaCry không hẳn là một mã độc tống tiền quá phức tạp.

Mã độc tống tiền WannaCry: Lỗi lập trình giúp khôi phục tập tin mã hóa sau khi bị nhiễm

Anton Ivanov – chuyên gia cao cấp phân tích phần mềm độc hại của Kaspersky Lab, cùng các đồng nghiệp Fedor Sinitsyn và Orkhan Mamedov đã phát hiện ra rằng, có 3 lỗ hổng quan trọng trong mã lệnh của WannaCry cho phép nạn nhân khôi phục các tập tin đã bị mã hóa bằng các công cụ khôi phục miễn phí, hoặc thậm chí bằng các dòng lệnh đơn giản.

Theo các nhà nghiên cứu, lỗ hổng nằm ở cách WannaCry xóa các tập tin gốc sau khi mã hóa. Nhìn chung, cơ chế mã hóa của WannaCry như sau: đầu tiên, đổi tên các tập tin để thay đổi phần mở rộng sang “.WCRCR”; sau đó, mã hóa các tập tin; cuối cùng, xóa các tập tin gốc.

Khôi phục các tập tin Read-only

Với những tập tin Read-only (chỉ đọc) mà WannaCry không thể trực tiếp mã hóa và sửa đổi, WannaCry sao chép các tập tin này và tạo các bản sao mã hóa mới.

Các tập tin Read-only gốc vẫn nguyên vẹn nhưng đã bị WannaCry cài đặt thuộc tính ẩn. Để lấy lại các tập tin này, nạn nhân chỉ cần khôi phục thuộc tính hiển thị bình thường.

Khôi phục các tập tin trong System Drive ( Ví dụ như ổ đĩa C)

Các tập tin được lưu trữ trong các thư mục quan trọng trên System Drive như Desktop hoặc Documents thì không thể khôi phục mà không cần khóa giải mã của tin tặc, vì WannaCry đã được thiết kế để ghi đè các dữ liệu ngẫu nhiên lên các tập tin gốc trước khi xóa.

Tuy nhiên, các tập tin khác không lưu trữ trên các thư mục quan trọng của System Drive có thể được khôi phục từ thư mục tạm thời Temp bằng các phần mềm khôi phục dữ liệu. Các tập tin gốc, chưa bị ghi đè đã được di chuyển sang %TEMP%\%d.WNCRYT (%d biểu thị một giá trị

Khôi phục tệp từ các ổ đĩa khác

Đối với các ổ đĩa không phải là ổ đĩa hệ thống, WannaCry tạo ra một thư mục '$RECYCLE' ẩn, và di chuyển các tập tin gốc vào thư mục này sau khi mã hóa. Có thể khôi phục lại các tập tin gốc này bằng cách cài đặt hiển thị cho thư mục '$RECYCLE'.

Ngoài ra, do “lỗi đồng bộ hoá” trong mã nguồn của WannaCry, trong nhiều trường hợp, các tập tin gốc vẫn nằm trong thư mục gốc, nên nạn nhân có thể khôi phục các tập tin bị xóa bằng cách sử dụng phần mềm khôi phục dữ liệu.

Các lỗ hổng trong mã nguồn của WannaCry đem lại nhiều hy vọng cho các nạn nhân. Một số công cụ miễn phí có thể giải mã các tập tin bị mã hóa bởi WannaCry cũng đã được một số nhà nghiên cứu cho ra mắt, như WanaKiwi hay WannaKey. Tuy nhiên không phải trường hợp nào cũng có thể sử dụng được. Vì thế, người sử dụng nên tự biết bảo vệ mình bằng các biện pháp phòng chống mã độc tống tiền cơ bản, như sử dụng bức tường lửa, các chương trình Anti-Virus, Internet Security; cập nhật bản mới nhất của hệ điều hành; kiểm tra kỹ các đường liên kết trước khi nhấp chuột; sao lưu các dữ liệu quan trọng….

‹ › ×

Tin liên quan

Lời tự thú của hacker từng 'cứu' Internet

11:00 | 22/05/2020

Ở tuổi 23, Marcus Hutchins được coi là người hùng khi một mình ngăn chặn vụ tấn công mạng nghiêm trọng nhất trong lịch sử - WannaCry. Nhưng rồi cậu đã bị FBI bắt.

67% các tổ chức trên toàn cầu vẫn có thể bị ảnh hưởng bởi WannaCry sau 4 năm

13:00 | 08/06/2021

Theo nghiên cứu mới đây, hơn 2/3 (67%) số tổ chức trên toàn cầu vẫn đang sử dụng giao thức Windows không an toàn. Đây là nguyên nhân chính của các cuộc tấn công mã độc tống tiền khét tiếng WannaCry và NotPetya năm 2017 và 2018.

Tin cùng chuyên mục

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Khám phá chiến dịch phát tán RAT độc hại thông qua các nền tảng họp trực tuyến

10:00 | 13/03/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.