Ошибки в WannaCry могут вернуть зашифрованные файлы

Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300-600 долларов США в биткоинах, сообщает "3Dnews".

Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

Эксперты "Лаборатория Касперского" выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением ".WNCRYT". После окончания процесса шифрования WannaCry перемещает файл с расширением ".WNCRYT" в файл ".WNCRY" и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.

Если файл находится на рабочем столе или в папке "Документы", то перед удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.

При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляется с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.

В WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут "скрытый". В таком случае их восстановление не составит особого труда.

Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя.

Фото: "3Dnews"

Читайте Comments.ua в Google News