Kesalahan Coding WannaCry Dapat Membantu Pemulihan File Bahkan Setelah Infeksi

Bulan lalu WannaCry ransomware memukul lebih dari 300.000 PC di seluruh dunia hanya dalam waktu 72 jam dengan menggunakan kemampuan penyebarannya sendiri untuk menginfeksi PC Windows yang rentan, terutama yang menggunakan versi OS yang rentan, di dalam jaringan yang sama.
Tapi bukan berarti WannaCry adalah barang ransomware berkualitas tinggi.
Peneliti keamanan baru-baru ini menemukan beberapa kesalahan pemrograman dalam kode cacing WannaCrypt ransomware yang memungkinkan korban mengembalikan file terkunci mereka tanpa membayar kunci dekripsi apapun.
Setelah menganalisis dengan mendalam kode WannaCry, perusahaan keamanan di Kaspersky Lab menemukan bahwa alat pembayaran tersebut penuh dengan kesalahan yang memungkinkan beberapa korbannya mengembalikan file mereka dengan alat pemulihan gratis yang tersedia untuk umum atau bahkan dengan perintah sederhana.


Anton Ivanov, analis malware senior di Kaspersky Lab, bersama rekannya Fedor Sinitsyn dan Orkhan Mamedov, mendetail tiga kesalahan penting yang dibuat oleh pengembang WannaCry yang memungkinkan sysadmin memulihkan file yang berpotensi hilang.
Menurut peneliti, isu-isu tersebut berada di jalan WannaCry ransomware menghapus file asli setelah enkripsi. Secara umum, malware pertama mengganti nama file untuk mengubah ekstensi mereka menjadi ".WNCRYT," mengenkripsi dan menghapus file asli.

Memulihkan File Read-only :

Karena sama sekali tidak mungkin perangkat lunak berbahaya untuk mengenkripsi atau memodifikasi file hanya-baca secara langsung, WannaCry menyalin file dan membuat salinan terenkripsi mereka.

Sementara file asli tetap tidak tersentuh namun diberi atribut 'tersembunyi', mendapatkan data asli kembali hanya membutuhkan korban untuk mengembalikan atribut normal mereka.

Itu bukan satu-satunya kesalahan dalam kode WannaCry, seperti dalam beberapa kasus, malware gagal menghapus file setelah mengenkripsi mereka dengan benar.

Memulihkan File dari Drive Sistem (yaitu drive C)

Periset mengatakan bahwa file yang tersimpan di folder penting, seperti folder Desktop atau Documents, tidak dapat dipulihkan tanpa kunci dekripsi karena WannaCry telah dirancang untuk menimpa file asli dengan data acak sebelum dikeluarkan.

Namun, periset melihat bahwa file lain yang tersimpan di luar folder penting pada drive sistem dapat dipulihkan dari folder sementara menggunakan perangkat lunak pemulihan data.

"... file asli akan dipindahkan ke% TEMP% \% d.WNCRYT (di mana% d menunjukkan nilai numerik). File-file ini berisi data asli dan tidak ditimpa, "kata periset.

Memulihkan File dari Drive Non-Sistem

Periset juga menemukan bahwa untuk drive non-sistem, WannaCry Ransomware menciptakan folder '$ RECYCLE' tersembunyi dan memindahkan file asli ke dalam direktori ini setelah enkripsi. Anda dapat memulihkan file tersebut hanya dengan membuka folder '$ RECYCLE'.

Selain itu, karena "kesalahan sinkronisasi" dalam kode WannaCry, dalam banyak kasus, file asli tetap berada di direktori yang sama, sehingga memungkinkan korban mengembalikan file yang tidak aman dengan menggunakan perangkat lunak pemulihan data yang ada.

Pemrograman Blunders: Harapan Baru untuk WannaCry Victims

Kesalahan pemrograman dalam kode WannaCry ini menawarkan banyak harapan bagi para korban.

"Jika Anda terinfeksi dengan ransomware WannaCry, ada kemungkinan Anda bisa mengembalikan banyak file di komputer yang terkena dampaknya," Kaspersky Lab menulis dalam sebuah posting blog yang diterbitkan pada hari Kamis. "Kualitas kode sangat rendah."

"Untuk mengembalikan file, Anda bisa menggunakan utilitas gratis yang tersedia untuk pemulihan data." 

Pemulihan file yang terinfeksi oleh WannaCry pertama kali dimungkinkan oleh periset Prancis Adrien Guinet dan Benjamin Delpy, yang membuat alat dekripsi WannaCry gratis yang bekerja pada Windows XP, Windows 7, Windows Vista, Windows Server 2003 dan Server 2008.
Sudah hampir sebulan sejak WannaCry mewabah melanda komputer di seluruh dunia, namun para hacker di balik uang saku yang menyebar sendiri, yang memanfaatkan bocoran Windows SMB yang bocor dari EternalBlue dan DoublePulsar, belum teridentifikasi.
Sementara perusahaan keamanan polisi dan cyber terus mencari jawaban seputar asal-usul kampanye WannaCry, perusahaan intelijen web Dark Flashpoint baru-baru ini mengindikasikan bahwa pelaku mungkin orang China, berdasarkan analisis linguistiknya.

Share this post