Март 30th, 2024 
matkiN133 «Корпорация Касперского» провела основательный тест небезопасного шифровальщика WannaCry и нашла в его архитектуре ошибки, которые помогут отчасти вернуть закодированные документы.
Напоминаем, что 12 июня клиенты и компании во всем мире пострадали от крупной атаки вымогателя. Вредная платформа шифрует документы распространённых форматов и требует выкуп размером 300–600 долларов в биткоинах. Зловред применяет смешанный метод зашифровки RSA+AES, что делает восстановление закодированных документов маловероятным.
Переименованные уникальные документы, которые можно восстановить из директории %TEMP%
Специалисты «Корпорация Касперского» узнали, что в ходе работы зловред разбирает содержание необычного документа, шифрует его и сохраняет в документ с расширением «.WNCRYT». После завершения процесса зашифровки WannaCry перемещает документ с расширением «.WNCRYT» в документ «.WNCRY» и устраняет подлинный документ. При этом разумность операций снятия может изменяться исходя из положения и качеств уникальных документов.
Если документ располагается на десктопе либо в папке «Бумаги», то перед уничтожением поверху него будут записаны невольные данные. Тогда способов восстановить содержание начального документа нет.
При кодировке данных в иных папках уникальные документы передвигаются в директорию %TEMP%%d.WNCRYT, где %d — это числовое значение. Эти документы имеют начальные данные, поверху которых ничего не пишется, — они просто удаляются с диска. Потому есть большая возможность, что уникальные документы будет можно вернуть с помощью программ восстановления данных. Принципиально также обозначить, что начальные документы удаляются опасно — это улучшает возможности на удачное восстановление.
Уникальные документы с обороной от записи не кодируются
И более того, в WannaCry находится ошибка обработки документов с обороной от записи. Если на заражённом ПК есть такие документы, то вымогатель их не закодирует вообще: будут сделаны закодированные копии любого такого документа, сами же оригиналы только обретут признак «сокрытый». Тогда их восстановление ничего не стоит.
Опубликовано в рубрике 
