WannaCry: néhány szalmaszál a fájlok megmentéséhez

A múlt héten globális támadásba lendült WannaCry zsaroló program titkosítására továbbra sincs ellenszer, de némi szerencsével néhány fájl megmenthető lehet.
 

A WannaCry továbbra is az érdeklődés középpontjában áll. A napokban azonban már elsősorban nem a terjedéséről szólnak a hírek, hiszen - bár lehet, hogy csak átmenetileg, de - jóval kevésbé aktív a kártevő, mint a múlt hét végén. A biztonsági cégek most inkább azzal vannak elfoglalva, hogy minél több tanáccsal lássák el a felhasználókat a következő, potenciális támadássorozat kockázatainak csökkentése érdekében. Eközben az üzemeltetők patch-elik a rendszereket, és az áldozatok azt próbálják kideríteni, hogy miként kaphatják vissza a fájljaikat.
 
A Symantec arra hívta fel a figyelmet, hogy jelenleg még nincs olyan módszer, amivel egy csapásra minden fájl helyreállíthatóvá válhatna egy fertőzött számítógépen. Ennek egyik oka, hogy minden egyes rendszeren eltérő kulcsokat használt a károkozó, így egyelőre univerzális megoldás sem létezik a problémára.
 
"Ha a kártékony program elindult egy számítógépen, akkor azon generált egy egyedi, 2048 bites RSA kulcspárt. Ez azt jelenti, hogy minden egyes áldozatnak szüksége lenne a saját dekódoló kulcsára a helyreállításhoz" - vélekedtek a biztonsági cég szakemberei.
 
A Symantec sem javasolja a zsarolók követeléseinek teljesítését. Ennek pedig most nemcsak az az oka, hogy semmi garancia nincs arra, hogy a csalók teljesítik az ígéretüket, és megküldik a fájlok visszanyeréséhez szükséges információkat. Kiderült ugyanis, hogy a WannaCry első variánsa tartalmazott egy hibát, amelynek következtében a károkozó nem volt képes egyedi Bitcoin címeket generálni az áldozatául eső számítógépeken, és mindössze három Bitcoin pénztárcába került az eddig kifizetett váltságdíjak egy jelentős része. Ezzel pedig a zsarolók elvesztették annak lehetőségét, hogy beazonosítsák az áldozataikat, és megküldhessék a dekódoló kulcsokat. De hogy még bonyolultabb legyen a helyzet, a WannaCry elszabadulása után nem sokkal a vírusterjesztők rájöttek a hibára, és viszonylag gyorsan javították azt. Viszont a jelek szerint a fertőzések nagyobb részét a hibás WannaCry variáns okozta.
 
Óvatosan az ígérgető programokkal
 
A biztonsági cég jelezte, hogy mivel jelenleg nincs jó módszer a titkosított fájlok dekódolására, azért nagyon óvatosan kell kezelni azokat a programokat, amelyek azt hirdetik magukról, hogy akár ingyen helyreállítják a károkat. Az ilyen szoftverek ugyanis további károkozókat terjeszthetnek, és nemkívánatos kódok lapulhatnak bennük, amikkel csak fokozni lehet az amúgy sem kis bajokat.
 
Két szalmaszál
 
A Symantec jelezte, hogy a Windows XP SP1 és SP2 kiadásainak esetében az egyik, véletlenszám-generálást végző PRNG (pseudo-random number generator) összetevő tartalmaz egy hibát, ami bizonyos körülmények között jól jöhet. Ha ugyanis egy rendszer nem tartalmazza a PRNG frissítését, akkor a WannaCry dekódoló kulcsa kiolvasható lehet a memóriából, de csak addig, amíg a kártékony program fut.
 
A másik, némileg több reménnyel szolgáló lehetőséget az adja, hogy a WannaCry az alábbi három esetben írja felül a fájlokat a titkosítás során:
- Asztal
- Dokumentumok mappa
- cserélhető meghajtók.
 
A többi mappa, meghajtó titkosításakor a fájlokat előbb átmozgatja egy átmeneti könyvtárba, titkosít, majd simám törli az átmeneti állományokat. Ez az a pont, ahol - szerencsével ugyan, de - visszamaradhatnak olyan fájlok vagy fájltöredékek, amik törölt állományok helyreállítására alkalmas szoftverekkel, illetve forensic alkalmazások segítségével visszanyerhetővé válhatnak. A biztonsági cég hozzátette, hogy ez is egy nagyon esetleges megoldás, mivel a fertőzés során átmenetileg létrehozott, majd törölt fájlok könnyedén felíródhatnak, és ekkor már nincs valós esély a károk ilyen módon történő felszámolására.