WannaCry var utbredd, men hade många fel i koden.
Bild: Arkiv bild
Koden bakom WannaCry, ransomware som nyligen smittats hundratusentals offer runt om i världen var full av misstag och av mycket låg kvalitet, i en sådan omfattning att en del brottsoffer kan få åtkomst till deras ursprungliga filer även efter att de har krypterats.
Analys av WannaCry av forskare på säkerhetsföretaget Kaspersky Lab har upptäckt att de flesta av de misstag som innebar att filer kan återställas med allmänt tillgänglig programvara verktyg eller till och med enkla kommandon.
“Om du var infekterade med WannaCry ransomware det finns en god möjlighet att du kommer att ha möjlighet att återställa en massa filer på datorn”, forskare vid Kaspersky Lab sa i ett blogginlägg. “Koden kvalitet är mycket låg.”
I ett fall, ett misstag i skrivskyddad fil mekanism för behandling av WannaCry innebär att det inte kan kryptera skrivskyddade filer alls. Istället ransomware skapar krypterade kopior av offrens filer, medan de ursprungliga filerna ligger kvar orörd men är inställd på att “gömda”. Det innebär att det är lätt att få tillbaka filerna genom att helt enkelt un-dölja dem.
Detta är inte det enda exemplet på dålig kodning inom WannaCry. Om ransomware infiltrerar ett system och filer som inte anses vara viktigt av utvecklarna filerna flyttas till en tillfällig mapp.
Inom dessa filer är de ursprungliga uppgifterna, som inte är över, utan bara bort från disken, vilket innebär att det är möjligt att få tillbaka dem med hjälp av data recovery software. Tyvärr, om filerna är i en “viktig” – mapp, som Dokument eller Skrivbordet, WannaCry kommer att skriva över den ursprungliga filen med slumpmässigt data och det är fortfarande omöjligt att återställa det i detta fall.
Trots många misstag i koden ger hopp till dem som blir smittade som amatörmässigt typ av ransomware som lämnar en hel del utrymme för att hämta åtminstone filer.
“Om du var infekterade med WannaCry ransomware det finns en god chans att du kommer att ha möjlighet att återställa en massa filer på din dator. Vi rekommenderar att privata användare och organisationer att använda file recovery verktyg på de drabbade maskiner i sina nätverk”, säger Anton Ivanov, säkerhetsforskare på Kaspersky Lab.
Det är inte första gången WannaCry har beskrivits som något av en amatör form av ransomware – och det faktum att endast en liten andel av de smittade offer har betalat en sammanlagd summa av $120 000 i Bitcoin lösensummor i tre veckor sedan attacken visar att medan det orsakade omfattande störningar, den har misslyckats med att tjäna pengar, vilket är det slutliga målet av ransomware.
Och medan WannaCry gjorde infektera många Windows XP-system, många misslyckade attacker resulterade i att datorer kraschar och visa den “blå skärm av döden”, igen vilket tyder på att kanske inte alla vara bra med koden.
Medan identiteten på de personer som ligger bakom WannaCry kampanj är fortfarande okänd, polisen och cybersäkerhet företag fortsätter att leta efter svar kring ursprunget av denna ransomware.
LÄS MER PÅ WANNACRY
Varför var WannaCry ransomware attack så utbredd?Ransomware: En verkställande guide till en av de största hot på webWindows XP drabbats av WannaCry ransomware? Detta verktyg kan användas för att dekryptera din infekterade filesHow för att försvara dig mot WannaCrypt globala ransomware attackWannaCry: Lösen not analys kastar upp nya ledtrådar