WannaCry: gyenge pontok a zsarolóvírusban – visszaállíthatók a kódolt fájlok
Néha a zsarolóvírus-fejlesztők is hibáznak, ami hatalmas segítség abban, hogy az áldozatok visszakapják az eredeti fájljaikat a vírusfertőzés ellenére is.
Miközben a WannaCry zsarolóvírus titkosítja az áldozatok fájljait, akkor az eredeti fájlból olvas, majd titkosítja az adott tartalmat, és egy „.WNCRYT” kiterjesztésű fájlba menti. A titkosítás után a „.WNCRYT” áthelyeződik a „.WNCRY” fájlba, majd törli az eredetit. Ez a törlési elv az áldozat fájljainak helyétől és tulajdonságaitól függően változhat.
Ha a fájl egy „fontos” mappában található (a kártékony programok fejlesztőinek szempontjából pl. az „Asztal” és/vagy „Dokumentumok” mappában), akkor az eltávolítás előtt az eredeti fájlt felülírják véletlenszerű adatokkal. Ilyen esetekben sajnos nem lehet visszaállítani az eredeti fájl tartalmát.
Ha a fájlt a „fontos” mappákon kívül tárolják, akkor az eredeti fájlt áthelyezik: %TEMP%\%d.WNCRYT (ahol a % számértéket jelöl). Ezek a fájlok tartalmazzák az eredeti adatokat, amik nincsenek felülírva és egyszerűen törlik a meghajtóról. Ez azt jelenti, hogy nagy valószínűséggel visszaállíthatóak az eredeti fájlok egy adat-visszaállító szoftver segítségével.
Ha a fájlok más meghajtókon találhatók, a zsarolóvírus létrehozza a „$RECYCLE” mappát, és rejtett rendszer-tulajdonságokat állít be ehhez a mappához. Ez a művelet a mappát láthatatlanná teheti a Windows File Explorerben, ha az alapértelmezett konfigurációval rendelkezik. A kártevő szoftverek az eredeti fájlokat a titkosítás után áthelyezik ebbe a könyvtárba.
Ugyanakkor a zsarolóvírus-kód szinkronizálási hibái miatt sokszor az eredeti fájlok ugyanabban a könyvtárban maradnak, és nem kerülnek át $RECYCLE mappába. Az eredetiket nem törli biztonságosan és ez lehetővé teszi a törölt fájlok visszaállítását adat-visszaállító szoftver segítségével.
A WannaCry elemzése közben a Kaspersky Lab kutatói észlelték, hogy a zsarolóvírus kódja egy számítógépes programhibát (bug) tartalmaz a csak olvasható fájlok feldolgozásában. Ha vannak ilyen fájlok egy fertőzött gépen, akkor a zsarolóvírus szoftver egyáltalán nem titkosítja őket. Csupán arra képes, hogy az eredeti fájlok titkosított példányát létrehozza, az eredeti fájlok viszont „rejtett" attribútumot kapnak. Ha ez történik, akkor egyszerű megtalálni a fájlokat, és visszaállítani a tulajdonságaikat.
Az eredeti, csak olvasható (read-only) fájlokat nem titkosítják, ezért elérési helyük változatlan
A zsarolóvírusról szóló kutatásokból nyilvánvaló, hogy a fejlesztők sok hibát követtek el, és miként a fenti leírásban részleteztük, a kód minősége nagyon gyenge.
Ha tehát valakinek a készülékét vagy a számítógépét megfertőzték a WannaCry vírussal, akkor úgy lehetőség van arra, hogy az eredeti fájlokat visszakapja a fertőzött számítógépen. A fájlok visszaállításához a károsult használhat ingyenes adat-visszaállító segédprogramokat. A szakértők javaslata: juttassák el ezeket az információkat a WannaCry zsarolóvírusról az IT-részlegeknek, hogy mielőbb visszaállíthassák az értékes adatokat.
