Миналия месец WannaCry удари стотици хиляди компютри в различни страни из цял свят, използвайки различни инструменти, но се оказва, че той всъщност не е замислен толкова добре и има много грешки.
Изследователи по сигурността са открили някои грешки в кода на WannaCry, което може да позволи на жертвите да си върнат обратно файловете без нуждата да плащат за декриптиращ ключ.
От компанията за сигурност Kaspersky са направили задълбочен анализ и са открили, че криптовирусът е пълен с грешки, което може да позволи възстановяване на файловете с декриптиращи инструменти, които са налични за безплатно сваляне или дори само с няколко команди.
Малуер анализаторът от Kaspersky Антон Иванов, заедно с колегите си Орхан Мамедов и Фьодор Синицин, обясняват в детайли три грешки, които са били допуснати от разработчиците на WannaCry.
Според тях проблемът при файловете, които са read only се състои в начина, по който WannaCry изтрива оригиналните файлове след като като е извършено криптирането. Той първо ги преименува, за да им добави разширението .WNCRYT, криптира ги и след това трие оригиналните файлове.
Понеже криптовирусът не може директно да модифицира и криптира файлове, които са само за четене, WannaCry ги копира и създава техни криптирани копия, а оригиналните файлове си остават непроменени и просто им се дава атрибут да са скрити.
В този случай жертвите просто трябва да възстановят оригиналните атрибути на файловете и ще си получат информацията обратно.
В случаите когато файловете са на дял, който не е системен, WannaCry създава скрита папка $RECYCLE и премества оригиналните файлове в нея след като приключи с криптирането. Тогава потребителят може да си върне файловете просто като направи папката видима и си копира информацията от тази папка.
Специалистите са забелязали, че в много случаи, поради проблеми със синхронизацията, оригиналните файлове може да останат в същата директория, като са изтрити по несигурен начин, което позволява на потребителите да си ги върнат с какъвто и да било софтуер за възстановяване на изтрити данни.
И това не е единственият проблем в тази насока – WannaCry понякога дори не успява да изтрие тези файлове.
Възстановяването на криптирани файлове от WannaCry, които са се намирали на системен дял (C:), също е възможно, но тук има едно условие – файловете не трябва да са били във важни папки като My Documents или Desktop папките.
Файловете в тези папки не могат да бъдат декриптирани без декриптиращ ключ, защото след изтриването им, WannaCry насища диска с произволна информация, което прави възстановяването на изтритите оригинални файлове след криптирането почти невъзможно.
За другите файлове, които не са били във важни папки като горепосочените, специалистите са забелязали, че WannaCry прави временна папка с име %TEMP%%d.WNCRYT. В тази папка биват преместени всички оригинални файлове след като приключи криптирането и след това биват изтрити. Важният факт тук е, че в тази папка криптовирусът не презаписва произволна информация, което прави възстановяването на изтритите файлове много лесно.
Тези грешки в кода на WannaCry дават надежда на много жертви, които искат да върнат своите файлове. Специалистите от Kaspersky обясняват, че има голяма вероятност да успеете да си върнете файловете, ако сте сред жертвите на ransomware атаката, само с използването на безплатни инструменти за възстановяване на изтрита информация.
Може да използвате и инструмента за декриптиране на Adrien Guinet, който първоначално работеше само при Windows XP, но вече декриптира файлове и при Windows 7, Windows Vista, Windows Server 2003 и Server 2008.
Мина почти месец, след като криптовирусът WannaCry плъзна из цял свят, заразявайки стотици хиляди компютри, използвайки откраднати от Националната агенция за сигурност на САЩ инструменти, EternalBlue и DoublePulsar, които експлоатират SMB уязвимост в Windows.
Въпреки че вече оттогава различни изследователи се опитват да разберат кой стои зад тази невиждана по размерите си до момента атака, хората зад WannaCry остават неизвестни до ден днешен. Скорошно изследване показва, че кибер престъпниците може би са от Китай.