Ошибки в коде программ-вымогателей WannaCry могут позволить вам вернуть ваши файлы

Программ-вымогатель WannaCry содержит ошибку в коде, которая может позволить вам вернуть ваши файлы

В прошлом месяце мир вычислительной техники был потрясен программой-вымогателем WannaCry, которая на пике затронула более четверти миллиона ПК по всему миру. Однако это не означает, что это было высококачественное вредоносное ПО, поскольку исследования этого ПО показали, что вы можете расшифровать ваши файлы без необходимости в ключе расшифровки из-за недостатков в процессе кодирования WannaCry.

Терпеливое исследование приносит плоды

Лаборатория Касперского пришла к выводу, что программа-вымогатель содержала ошибки в своем коде, которые позволяли пользователю расшифровывать/восстанавливать свои файлы с помощью общедоступных инструментов или даже простых команд. Антон Иванов, старший аналитик вредоносного ПО в Лаборатории Касперского, вместе с коллегами Федором Синицыным и Орханом Мамедовым, после глубокого исследования вредоносного ПО, подробно описали 3 критические ошибки, допущенные разработчиками вредоносного ПО, которые могут позволить системному администратору восстановить эти файлы.

Согласно исследователям, проблема заключается в том, как вредоносное ПО выполняет шифрование. Вредоносное ПО сначала переименовывает оригинальные файлы с расширением “.WNCRYT”, затем шифрует их, после чего удаляет оригинальные файлы. Это происходит потому, что вредоносное ПО не может напрямую зашифровать или изменить файлы только для чтения.

Таким образом, оригинальные файлы остаются нетронутыми, и файлы только получают атрибут “скрытый”, и поэтому восстановление файлов требует от пользователя лишь восстановления оригинальных атрибутов. Однако это была не единственная ошибка, в некоторых случаях вредоносное ПО даже не удаляло оригинальные файлы после шифрования.

Восстановление с системного диска

Исследователи уточнили, что восстановление файлов, находившихся в важных местах, таких как папки Документы или Рабочий стол, будет невозможно без ключа расшифровки, поскольку вредоносное ПО было закодировано так, чтобы перезаписывать оригинальные файлы случайными данными перед их удалением. Таким образом, исключая любую возможность восстановления. Однако данные из файлов, находившихся в других местах, можно восстановить из временной папки с помощью программного обеспечения для восстановления данных.

“…оригинальный файл будет перемещен в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат оригинальные данные и не перезаписываются,” - сказали исследователи.

Те же исследователи также обнаружили, что вредоносное ПО создаст скрытую папку ‘$RECYCLE’, куда оно перенесет все оригинальные файлы после их шифрования, таким образом, все, что вам нужно сделать, это сделать папку ‘$RECYCLE’ видимой, и вы получите все свои файлы обратно. В некоторых случаях из-за “синхронизационных ошибок” оригинальные файлы иногда также оставались в своих оригинальных директориях, что позволяло пользователям восстанавливать свои файлы, используя простое программное обеспечение для восстановления данных.

Надежда для жертв WannaCry

Эти ошибки являются лучом надежды для жертв вредоносного ПО, которые не смогли восстановить свои файлы.

“Если вы были заражены программой-вымогателем WannaCry, есть большая вероятность, что вы сможете восстановить многие файлы на затронутом компьютере. Качество кода очень низкое. Для восстановления файлов вы можете использовать бесплатные утилиты, доступные для восстановления данных.”

Французские исследователи Адриен Гинет и Бенжамен Дельпи сделали восстановление файлов возможным, создав бесплатный инструмент расшифровки WannaCry, который работает на Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Server 2008. Тем временем мир все еще ищет виновных в этом резонирующем программном обеспечении-вымогателе.

Источник: The Hacker News