В ходе анализа исходного кода вымогательской программы WannaCry, заразившей сотни тысяч компьютеров по всему миру, эксперты из «Лаборатории Касперского» выявили ряд уязвимостей, которые позволяют восстановить зашифрованные файлы, используя общедоступные программные решения.
Так, ошибка в процедуре обработки файлов, для которых выставлен атрибут «только для чтения», свидетельствует о том, что WannaCry вовсе не может осуществлять шифрование таких файлов. Вредоносная программа генерирует зашифрованные копии файлов, не затрагивая оригиналы. Примечательно, что WannaCry скрывает оригинальные файлы, не удаляя их, поэтому пользователь может получить к ним доступ, активировав функцию отображения скрытых файлов.
Если файлы находятся в таких важных каталогах, как «Рабочий стол» или «Мои документы», WannaCry осуществляет перезапись оригинальных файлов, делая их восстановление без выплаты выкупа невозможным. Файлы, которые операторы программы считают неважными, переносятся во временную папку и затем без перезаписи удаляются с диска. В таком случае их можно вернуть посредством специальных инструментов для восстановления данных.
