Новости Software

Ошибки в WannaCry помогут вернуть зашифрованные файлы

«Лаборатория Касперского» провела глубокий анализ опасного шифровальщика WannaCry и обнаружила в его архитектуре ошибки, которые помогут частично вернуть закодированные файлы.

Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Переименованные оригинальные файлы, которые можно восстановить из директории %TEMP%

Эксперты «Лаборатория Касперского» выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования WannaCry перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

Если файл находится на рабочем столе или в папке «Документы», то перед удалением поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%\%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляются с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.

Оригинальные файлы с защитой от записи не зашифровываются

Оригинальные файлы с защитой от записи не зашифровываются

Более того, в WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут «скрытый». В таком случае их восстановление не составит особого труда. 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥