Ошибки кода вымогателя WannaCry дают надежду на бесплатное возвращение файлов

Исходный код приложения-вымогателя WannaCry, которое несколько недель назад сумело распространиться на сотни тысяч компьютеров по всему миру, оказался очень низкого качества. Это даёт надежду на то, что зашифрованные файлы можно будет вернуть без необходимости платить выкуп.

Анализ кода провела лаборатория Касперского и было обнаружено, что ошибки в коде делают возможным восстановление файлов при помощи доступных программных инструментов и даже простых команд. Например, ошибка в механизме обработки файлов только для чтения означает, что программа не может зашифровать подобные файлы. Вместо этого WannaCry создаёт зашифрованные копии пользовательских файлов, тогда как оригинальные файлы остаются нетронутыми, но при этом делаются скрытыми. Достаточно только включить опцию отображения скрытых файлов, чтобы получить доступ к ним.

Если пользовательские файлы считаются неважными, они отправляются во временную папку. Данные в этих файлах не перезаписываются, а удаляются, поэтому их можно восстановить при помощи специальных программ. Если же файлы находятся в важных папках, вроде «Рабочий стол» или «Мои документы», WannaCry перезаписывает оригинальный файл и восстановить их невозможно.

За три недели авторы вымогателя получили сумму всего в $120 тысяч, что с учётом масштаба инфицирования является крайне скромным показателем. Недавно появилась информация о том, что компьютеры на Windows XP пострадали меньше других, поскольку вымогатель приводил к появлению синего экрана смерти вместо шифрования файлов, что также говорит о низком качестве кода.