Badacze z Kaspersky Lab przeprowadzili szczegółową analizę kodu szkodliwego programu WannaCry, który na początku maja zaszyfrował dane na komputerachsetek tysięcy ofiar na całym świecie. Badanie wykazało, że twórcy tego zagrożenia popełnili kilka błędów, w wyniku czego odzyskanie zablokowanych danych może się okazać możliwe.

Błędy w szkodliwym programie WannaCry mogą pomóc ofiarom w odzyskaniu zaszyfrowanych danych

Większość pomyłek popełnionych przez cyberprzestępców może pozwolić na odzyskanie danych przy użyciu publicznie dostępnych narzędzi. W szczególności jeden z błędów dotyczy mechanizmu przetwarzającego pliki z atrybutem „tylko do odczytu”. Pomyłka ta uniemożliwia szyfrowanie takich plików — szkodnik tworzy ich kopie i szyfruje je, a oryginały są ukrywane, jednak pozostają na dysku nietknięte, dzięki czemu proces jest łatwy do odwrócenia. Szkodnik próbuje usuwać te pliki, jednak nie udaje mu się to.

Widzieliśmy to już wcześniej – twórcy szkodników ransomware często popełniają poważne błędy, które pozwalają specjalistom z branży bezpieczeństwa odzyskiwać zablokowane dane. WannaCry, a przynajmniej jego pierwsza i najszerzej rozprzestrzeniona wersja, jest tego kolejnym przykładem. Jeżeli padłeś ofiarą tego szkodnika, istnieje spora szansa odzyskania znacznej ilości danych. Wszystkim ofiarom WannaCry — zarówno użytkownikom domowym, jak i firmom — zalecamy skorzystanie ze standardowych narzędzi służących do odzyskiwania danych — powiedział Anton Iwanow, badacz ds. cyberbezpieczeństwa, Kaspersky Lab.

Szczegóły techniczne dotyczące analizy błędów pozostawionych w kodzie przez twórców szkodliwego programu WannaCry są dostępne na stronie https://kas.pr/wrj6.

Źródło: Kaspersky Lab