最新研究：利用WannaCry Ransomware的代碼錯誤可以恢復你的文件

上個月，整個互聯網世界被WannaCry ransomware所震撼，全球90多個國家受到影響，超過30萬台計算機被感染。然而，這並不意味著這是一款無懈可擊的惡意軟體。研究表明，恢復文件並不一定需要解密密鑰，利用WannaCry Ransomware的代碼錯誤，同樣可以讓你的文件得到恢復。

研究表明WannaCry存在編碼錯誤

卡巴斯基實驗室得出結論，WannaCry ransomware在其代碼中存在多個錯誤，使得用戶可以使用免費的數據恢復軟體，甚至很基本的命令來解密或恢復文件。卡巴斯基實驗室的高級惡意軟體分析師Anton Ivanov、Fedor Sinitsyn和Orkhan Mamedov在深入研究惡意軟體後，詳細說明了惡意軟體開發人員在編碼過程中存在的3個嚴重錯誤，以此可以讓系統管理員恢復這些文件。

據研究人員介紹，問題在於惡意軟體執行加密的方式。惡意軟體首先會使用擴展名「.WNCRYT」來重命名原始文件，然後對其進行加密，最後刪除原始文件。這樣做是因為惡意軟體無法直接加密或修改只讀文件。

由於原始文件保持不變，文件只接收「隱藏」屬性，因此恢復文件只需要用戶恢復這些文件的原始屬性。這不是唯一的錯誤，在某些情況下，惡意軟體在加密後甚至無法刪除原始文件。

從系統驅動器恢復文件

研究人員指出，如果沒有解密密鑰，將不可能恢復保存在重要位置（如Documents或Desktop）文件夾中的文件。因為惡意軟體被編碼為在刪除原始文件之前用隨機數據覆蓋原始文件，以此來杜絕任何形式的恢復手段。但是，如果是保存在其他位置的文件則可以通過數據恢復軟體從臨時文件夾中恢復。

「...原始文件將被移動到％TEMP％％d.WNCRYT（其中％d表示數值）。這些文件包含原始數據，不會被覆蓋，「研究人員說。

從非系統驅動器恢復文件

同樣的研究人員還發現，對於非系統驅動器，惡意軟體會創建一個隱藏的「$ RECYCLE」文件夾，它會在加密之後將原始文件保存在其下。所以，你要做得就是找到隱藏隱藏的「$ RECYCLE」文件夾，將你的文件提取出來。在某些情況下，由於「同步錯誤」，原始文件有時也會被保留在原始目錄中，從而用戶可以通過使用簡單的數據恢復軟體來恢復文件。

WannaCry受害者的希望

「如果你的設備感染了WannaCry ransomware，其實其中有很多文件是可以通過使用各種免費的數據恢復軟體來恢復的，因為其代碼編寫質量並不高，存在很多可以利用的錯誤」

WannaCry感染文件的恢復首先由法國研究人員Adrien Guinet和Benjamin Delpy提供，他們製作了一款適用於Windows XP，Windows 7，Windows Vista，Windows Server 2003和Server 2008 的免費WannaCry解密工具。

黑客視界：先手掌握行業新聞，深度挖掘與探討。充分考慮企業需求，以輕鬆的氛圍和簡潔的內容，讓信息安全各處普及。你身邊的安全趣事、科技難事都可以投稿給我們，我們一起分享一起解決。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！