WannaCry編碼錯誤甚至可以幫助文件在感染后恢復

但這并不意味著WannaCry是一個高質量的勒索軟件。

安全研究人員最近在WannaCrypt勒索軟件蠕蟲的代碼中發現了一些編程錯誤，這可能使受害者能夠在不支付任何解密密鑰的情況下恢復鎖定的文件。

在深入分析WannaCry代碼后，卡巴斯基實驗室的安全公司發現勒索軟件充滿了錯誤，可能會讓一些受害者使用公開的免費恢復工具，甚至是簡單的命令來恢復他們的文件。

卡巴斯基實驗室（Kaspersky Lab）的高級惡意軟件分析師安東·伊萬諾夫（Anton Ivanov）與同事費多爾·西尼琴（Fedor Sinitsyn）和奧克漢·馬梅多夫（Orkhan Mamedov）詳細介紹了WannaCry開發者犯下的三個關鍵錯誤，這些錯誤可能會讓系統管理員恢復可能丟失的文件。

研究人員稱，問題在于WannaCry勒索軟件在加密后刪除原始文件的方式。通常情況下，惡意軟件首先重命名文件，將其擴展名更改為“.WNCRYT”，對其進行加密，然后刪除原始文件。

恢復只讀文件

由于惡意軟件根本不可能直接加密或修改只讀文件，WannaCry會復制文件并創建其加密副本。

雖然原始文件保持不變，但被賦予了“隱藏”屬性，但恢復原始數據只需要受害者恢復其正常屬性。

這并不是WannaCry代碼中的唯一錯誤，因為在某些情況下，惡意軟件在正確加密文件后無法刪除這些文件。

從系統驅動器（即C驅動器）恢復文件

研究人員表示，如果沒有解密密鑰，存儲在桌面或文檔文件夾等重要文件夾中的文件就無法恢復，因為WannaCry的設計目的是在刪除之前用隨機數據覆蓋原始文件。

然而，研究人員注意到，存儲在系統驅動器重要文件夾之外的其他文件可以使用數據恢復軟件從臨時文件夾中恢復“原始文件將被移動到%TEMP%\%d.WNCRYT（其中%d表示一個數值）。這些文件包含原始數據，不會被覆蓋，”研究人員說。

從非系統驅動器恢復文件

研究人員還發現，對于非系統驅動器，WannaCry勒索軟件會創建一個隱藏的“$RECYCLE”文件夾，并在加密后將原始文件移動到此目錄中。只需取消隱藏“$RECYCLE”文件夾，即可恢復這些文件。

此外，由于WannaCry代碼中存在“同步錯誤”，在許多情況下，原始文件仍保留在同一目錄中，因此受害者可以使用可用的數據恢復軟件恢復不安全刪除的文件。

編程失誤：WannaCry受害者的新希望

WannaCry代碼中的這些編程錯誤給許多受害者帶來了希望。

卡巴斯基實驗室在周四發布的一篇博客文章中寫道：“如果你感染了WannaCry勒索軟件，你很有可能能夠恢復受影響計算機上的許多文件”。“代碼質量非常低”。

“要還原文件，可以使用可用的免費數據恢復實用程序”。

法國研究人員阿德里安·吉尼特（Adrien Guinet）和本杰明·德爾比（Benjamin Delpy）首先使受WannaCry感染的文件得以恢復，他們制作了一個免費的WannaCry解密工具，可在Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008上運行。

WannaCry流行病襲擊全球計算機已經快一個月了，但這一自我傳播勒索軟件背后的黑客尚未確定。該勒索軟件利用泄露的NSA Windows SMB漏洞EternalBlue和DoublePulsar。

盡管警方和網絡安全公司仍在繼續尋找有關WannaCry運動起源的答案，但黑暗網絡情報公司Flashpoint最近表示，根據其語言分析，肇事者可能是中國人。