Исходный код вируса-вымогателя WannaCry, который несколько недель назад сумел заразить сотни тысяч компьютеров по всему миру, оказался очень низкого качества. Это даёт надежду на то, что зашифрованные файлы можно будет вернуть без необходимости платить выкуп.

Wanna Cry

Анализ кода провели эксперты лаборатории Касперского и обнаружили, что ошибки в коде делают возможным восстановление файлов при помощи доступных программных инструментов и даже простых команд. Например, ошибка в механизме обработки файлов только для чтения означает, что программа не может зашифровать подобные файлы. Вместо этого WannaCry создаёт зашифрованные копии пользовательских файлов, тогда как оригинальные файлы остаются нетронутыми, но при этом делаются скрытыми. Достаточно только включить опцию отображения скрытых файлов, чтобы получить доступ к ним.

Если файлы пользователя считаются неважными, они отправляются во временную папку. Данные в этих файлах не перезаписываются, а удаляются, поэтому их можно восстановить при помощи специальных программ. Если же файлы находятся в важных папках, вроде «Рабочий стол» или «Мои документы», WannaCry перезаписывает оригинальный файл и восстановить их невозможно.

За три недели авторы вымогателя получили сумму всего в $120 тысяч, что с учётом масштаба инфицирования является крайне скромным показателем. Недавно появились данные о том, что компьютеры на Windows XP пострадали меньше других, поскольку вымогатель приводил к появлению синего экрана смерти вместо шифрования файлов, что также говорит о низком качестве кода.