Ошибки в WannaCry помогут вернуть зашифрованные файлы
Лаборатория Касперского провела глубокий анализ опасного шифровальщика WannaCry и обнаружила в его архитектуре ошибки, которые помогут частично вернуть закодированные файлы.
Напомним, что 12 мая пользователи и организации по всему миру пострадали от масштабной атаки вымогателя. Вредоносная программа кодирует файлы распространённых форматов и требует выкуп в размере 300–600 долларов США в биткоинах. Зловред использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.
Переименованные оригинальные файлы, которые можно восстановить из директории TEMP
Эксперты «Лаборатория Касперского» выяснили, что в процессе работы зловред читает содержимое оригинального файла, шифрует его и сохраняет в файл с расширением «.WNCRYT». После окончания процесса шифрования WannaCry перемещает файл с расширением «.WNCRYT» в файл «.WNCRY» и удаляет оригинальный файл. При этом логика операций удаления может меняться в зависимости от расположения и свойств оригинальных файлов.
Если файл находится на рабочем столе или в папке «Документы», то перед удалением, поверх него будут записаны случайные данные. В этом случае способов восстановить содержимое исходного файла нет.
При кодировании данных в других папках оригинальные файлы перемещаются в директорию %TEMP%\%d.WNCRYT, где %d — это числовое значение. Эти файлы содержат первоначальные данные, поверх которых ничего не пишется, — они просто удаляются с диска. Поэтому существует высокая вероятность, что оригинальные файлы можно будет вернуть при помощи программ восстановления данных. Важно также отметить, что исходные файлы удаляются небезопасно — это повышает шансы на успешное восстановление.
Более того, в WannaCry содержится ошибка обработки файлов с защитой от записи. Если на заражённом компьютере есть такие файлы, то вымогатель их не зашифрует вообще: будут созданы зашифрованные копии каждого такого файла, а сами оригиналы лишь получат атрибут «скрытый». В таком случае их восстановление не составит особого труда.
 |
- Кредитные карты: альтернативы для неработающих граждан
- Платформа покер-рума Pokerok - ключевой обзор популярного игрового азартного софта
- Экспертные аккаунты Discord: Новый уровень возможностей
- Работа вахтой: от скромности до карьерного успеха
- Начало ремонта в новостройке без отделки - пошаговое руководство для новичков
10.06.2017 7:00 | Светлана Любкина
|