WannaCryランサムウェアのコーディングミスによりファイルを取り戻すことができるかもしれません

WannaCryランサムウェアにはファイルを取り戻すことができるコーディングミスがあります

先月、コンピュータの世界はWannaCryランサムウェアによって揺れ動き、そのピーク時には世界中で25万台以上のPCに影響を与えました。しかし、それは高品質なマルウェアであることを意味するわけではなく、WannaCryのコーディングプロセスの欠陥により、復号鍵なしでファイルを復号できるという報告が出ています。

忍耐強い研究が実を結ぶ

カスペルスキーラボは、このランサムウェアには、ユーザーが公開されているツールや基本的なコマンドを使用してファイルを復号/復元できるようにするコーディングミスが含まれているという結論に達しました。カスペルスキーラボの上級マルウェアアナリストであるアントン・イワノフ氏は、同僚のフェドール・シニツィン氏とオルカン・マメドフ氏と共に、マルウェアを深く研究した結果、システム管理者がこれらのファイルを復元できるようにするために開発者が犯した3つの重大なエラーを詳述しました。

研究者によると、問題はマルウェアが暗号化を実行する方法にあります。マルウェアはまず、元のファイルの名前を「.WNCRYT」拡張子に変更し、その後暗号化を行い、元のファイルを削除します。これは、マルウェアが読み取り専用ファイルを直接暗号化または変更することができないためです。

したがって、元のファイルは手を加えられず、ファイルには「隠し」属性のみが付与されるため、ファイルを復元するにはユーザーが元の属性を復元するだけで済みます。しかし、これは唯一のエラーではなく、場合によっては、マルウェアが暗号化後に元のファイルを削除することに失敗することもありました。

システムドライブからの復元

研究者たちは、ドキュメントやデスクトップフォルダーなどの重要な場所にあったファイルを復元することは、マルウェアが元のファイルを削除する前にランダムデータで上書きするようにコーディングされているため、復号鍵なしでは不可能であると指定しました。したがって、いかなる回復も無効になります。しかし、他の場所にあったファイルのデータは、データ復元ソフトウェアを使用して一時フォルダーから復元することができます。

「…元のファイルは%TEMP%\%d.WNCRYTに移動されます（%dは数値を示します）。これらのファイルには元のデータが含まれており、上書きされません」と研究者は述べました。

同じ研究者たちは、マルウェアが暗号化後に元のファイルをすべて転送する隠し「$RECYCLE」フォルダーを作成することも発見しました。したがって、あなたがする必要があるのは「$RECYCLE」を表示させることで、すべてのファイルを取り戻すことができます。場合によっては、「同期エラー」により、元のファイルが元のディレクトリに残ることもあり、そのためユーザーは簡単なデータ復元ソフトウェアを使用してファイルを復元することができました。

WannaCryの被害者への希望

これらのエラーは、ファイルを復元できなかったマルウェアの被害者にとって希望の光となります。

「WannaCryランサムウェアに感染した場合、影響を受けたコンピュータ上の多くのファイルを復元できる可能性が高いです。コードの品質は非常に低いです。ファイルを復元するには、データ復元のための無料のユーティリティを使用できます。」

フランスの研究者アドリアン・ギネット氏とベンジャミン・デルピー氏は、Windows XP、Windows 7、Windows Vista、Windows Server 2003およびServer 2008で動作する無料のWannaCry復号ツールを作成することにより、ファイルの復元を可能にしました。この間も、世界はこの注目を集めるランサムウェアの犯人を追い続けています。

出典: The Hacker News