«Лаборатория Касперского» провела глубокий анализ опасного шифровальщика WannaCry и обнаружила в его архитектуре ошибки, которые помогут частично вернуть закодированные файлы.
Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.
Эксперты «Лаборатория Касперского» выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования WannaCry перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.
Если файл находится на рабочем столе или в папке «Документы», то перед удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.
При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%\%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляется с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.
Более того, в WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут «скрытый». В таком случае их восстановление не составит особого труда.
Горячие темы