«Лабораторія Касперського» провела глибокий аналіз небезпечного шифрувальника WannaCry і виявила в його архітектурі помилки, які допоможуть частково повернути закодовані файли.
Нагадаємо, що 12 травня користувачі та організації по всьому світу постраждали від масштабної атаки вимагача. Шкідлива програма кодує файли поширених форматів і вимагає викуп у розмірі 300-600 доларів США в біткойнах. Зловред використовує гібридний алгоритм шифрування RSA + AES, що робить відновлення зашифрованих файлів практично неможливим.
Якщо файл знаходиться на стільниці або в теці «Документи», перед видаленням буде записано випадкові дані. У цьому випадку способів відновити вміст вихідного файлу немає.
При кодуванні даних в інших теках оригінальні файли пересуваються в директорію% TEMP%\% d.WNCRYT, де% d - це числове значення. Ці файли містять початкові дані, поверх яких нічого не пишеться, - вони просто вилучаються з диска. Тому існує висока ймовірність, що оригінальні файли можна буде повернути за допомогою програм відновлення даних. Важливо також зазначити, що вихідні файли видаляються небезпечно - це підвищує шанси на успішне відновлення.
Крім того, WannaCry містить помилку обробки файлів із захистом від запису. Якщо на зараженому комп'ютері є такі файли, вимагач їх не зашифрує взагалі: будуть створені зашифровані копії кожного такого файлу, а самі оригінали лише отримають атрибут «прихований». У такому випадку їх відновлення не складе особливої праці.
