Ошибки в коде WannaCry дают его жертвам шанс вернуть свои файлы

Исследователи кибербезопасности из «Лаборатории Касперского» изучили программу-вымогателя и сообщили о ее «очень низком» качестве.

Код WannaCry, вымогателя, который недавно заразил сотни тысяч жертв по всему миру, был полон ошибок и имел очень низкое качество. До такой степени низкое, что некоторые жертвы могут восстановить доступ к своим оригинальным файлам даже после того, как те были зашифрованы.

Анализ WannaCry, проведенный исследователями из специализирующейся на безопасности «Лаборатории Касперского», выявил, что большинство ошибок означает, что файлы могут быть восстановлены с помощью общедоступных программных инструментов или даже простых команд.

В одном случае ошибка WannaCry в механизме обработки файлов только для чтения означает, что он вообще не может шифровать такие файлы. Вместо этого вымогатель создает зашифрованные копии файлов жертвы. При этом оригинальные файлы остаются неприкосновенными, но помечаются как скрытые. Это означает, что файлы легко вернуть, просто сняв атрибут «скрытый».

Это не единственный пример плохого кодирования WannaCry. Если вымогатель проникает в систему, файлы, которые его разработчики не считают важными, перемещаются во временную папку. В этих файлах содержатся оригинальные данные, которые не перезаписываются, а лишь удаляются с диска. Это означает, что их можно вернуть, используя ПО для восстановления данных. К сожалению, если файлы находятся в «важной» папке, такой как Документы или Рабочий стол, WannaCry запишет поверх оригинальных файлов случайные данные, и в этом случае их восстановление будет невозможным.

Тем не менее, множество ошибок в коде дает надежду пострадавшим, поскольку любительский характер вымогателя предоставляет широкие возможности для восстановления, по крайней мере, файлов.

«Если вы были заражены вымогателем WannaCry, велика вероятность, что вы сможете восстановить многие файлы на своем пострадавшем компьютере. Мы рекомендуем частным лицам и организациям использовать утилиты восстановления файлов на пострадавших машинах в своей сети», — сказал Антон Иванов, исследователь безопасности из «Лаборатории Касперского».

Уже не первый раз WannaCry характеризуется как некая любительская форма вымогателя. А тот факт, что за три недели после атаки лишь мизерная доля зараженных жертв выплатила в общей сложности 120 тыс. долл. в биткоинах в виде выкупа, позволяет утверждать, что вымогатель, хотя и вызвал массовый переполох, не сумел получить больших денег, что является конечной целью программ-вымогателей.

И хотя WannaCry заразил многие системы с Windows XP, многочисленные неудачные атаки приводили к аварийному завершению работы компьютеров и появлению «синих экранов смерти». Это опять же указывает на то, что с кодом не все в порядке.

Несмотря на то, что личности стоящих за кампанией по распространению WannaCry остаются неизвестны, полиция и занимающиеся кибербезопасностью фирмы продолжают искать ответы на вопросы, связанные с происхождением этого вымогателя.