Μερικά μικρά μυστικά που μπορούν να φανούν χρήσιμα στα χιλιάδες θύματα που πλήγησαν από την πρόσφατη κυβερνοεπίθεση χάνοντας τα αρχεία τους δημοσίευσαν οι ερευνητές της Kaspersky Lab. Μετά από ανάλυση του κώδικα του ransomware προγράμματος WannaCry, το οποίο «μόλυνε» εκατοντάδες χιλιάδες θύματα σε όλο τον κόσμο στις αρχές Μαΐου, οι ερευνητές διαπίστωσαν πως οι δημιουργοί του κακόβουλου λογισμικού έχουν κάνει πολλά λάθη στον κώδικα, τα οποία καθιστούν δυνατή την ανάκτηση αρχείων που επηρεάζονται από το κακόβουλο λογισμικό χωρίς την πληρωμή των λύτρων που ζητούν.
Όπως χαρακτηριστικά σημειώνουν τα περισσότερα από τα λάθη καθιστούν δυνατή την αποκατάσταση αρχείων με τη βοήθεια διαθέσιμων στο κοινό εργαλείων λογισμικού.
Σε μια περίπτωση, το σφάλμα στο μηχανισμό επεξεργασίας read-only αρχείων του κακόβουλου λογισμικού δεν του επιτρέπει να κρυπτογραφεί καθόλου read-only αρχεία. Αντίθετα, το κακόβουλο λογισμικό δημιουργεί κρυπτογραφημένα αντίγραφα των αρχείων, ενώ τα αρχικά αρχεία παραμένουν ανέγγιχτα, δίνοντάς τους μόνο έναν «κρυφό» χαρακτήρα, ο οποίος είναι εύκολο να αναιρεθεί. Το κακόβουλο λογισμικό αποτυγχάνει απλώς να διαγράψει τα πρωτότυπα αρχεία.
«Το έχουμε δει να συμβαίνει και κατά το παρελθόν: οι δημιουργοί ransomware προγραμμάτων συχνά κάνουν σοβαρά λάθη που επιτρέπουν στον κλάδο ασφάλειας να ανακτήσει με επιτυχία τα αρχεία που έχουν προσβληθεί. Το WannaCry - τουλάχιστον η πρώτη και πιο διαδεδομένη έκδοση αυτής της οικογένειας ransomware - είναι ακριβώς αυτό το είδος κακόβουλου λογισμικού. Αν έχετε «μολυνθεί» με το ransomware WannaCry, υπάρχει μια καλή πιθανότητα να μπορέσετε να επαναφέρετε πολλά από τα αρχεία στον υπολογιστή σας. Συμβουλεύουμε τους οικιακούς χρήστες αλλά και τους οργανισμούς να χρησιμοποιούν τα βοηθητικά προγράμματα αποκατάστασης αρχείων στα μηχανήματα που έχουν προσβληθεί από το ransomware στο δίκτυό τους», δήλωσε ο Anton Ivanov, ερευνητής ασφαλείας της Kaspersky Lab.
Όπως αναφέρουν στον ιστότοπο Securelist.com εάν το αρχείο που θέλετε να επαναφέρεται βρίσκεται σε «σημαντικό», από την άποψη των κυβερνοεγκληματιών, φάκελο όπως το Desktop και τα Έγγραφα, τότε το αρχικό αρχείο θα αντικατασταθεί με τυχαία δεδομένα πριν από την κατάργηση του και δυστυχώς σε αυτή την περίπτωση δεν μπορεί να αποκατασταθεί.
Εάν το αρχείο είναι αποθηκευμένο εκτός των «σημαντικών» φακέλων, τότε θα μεταφερθεί στο%TEMP% \% d.WNCRYT ( όπου %d υποδηλώνει μια αριθμητική τιμή). Αυτά τα αρχεία περιέχουν τα αρχικά δεδομένα και δεν αντικαθίστανται, δηλαδή δεν διαγράφονται από τον δίσκο, γεγονός που σημαίνει πως υπάρχει μεγάλη πιθανότητα να ανακτηθούν με το κατάλληλο λογισμικό.
