卡巴斯基實(shí)驗(yàn)室針對(duì)WannaCry代碼進(jìn)行深入分析，發(fā)現(xiàn)WannaCry里面的各種編碼錯(cuò)誤，這樣一來(lái)感染的人就有可能進(jìn)行文件恢復(fù)了。

就在上個(gè)月，這個(gè)名叫WannaCry的勒索軟件僅在72小時(shí)不到的時(shí)間里通過(guò)其自我傳播功能感染了全球超過(guò)三十萬(wàn)臺(tái)存在漏洞的Windows PC，但這并不意味著WannaCry是一款高質(zhì)量的勒索軟件。

近期，來(lái)自卡巴斯基實(shí)驗(yàn)室的安全研究專家在對(duì)WannaCry的代碼進(jìn)行了深入分析之后發(fā)現(xiàn)，WannaCry勒索軟件蠕蟲(chóng)的惡意代碼中存在大量的編碼錯(cuò)誤，而這些編碼錯(cuò)誤將有可能允許用戶恢復(fù)他們被加密的文件。需要注意的是，用戶現(xiàn)在不僅不用花錢(qián)去購(gòu)買(mǎi)所謂的解密密鑰，而且還可以使用網(wǎng)上免費(fèi)的恢復(fù)工具和一些簡(jiǎn)單的命令就能夠恢復(fù)自己被鎖定的文件了。

編碼錯(cuò)誤將有可能允許我們恢復(fù)被加密的文件。

卡巴斯基安全實(shí)驗(yàn)室的高級(jí)惡意軟件分析師Anton Ivanov以及他的同事Fedor Sinitsyn和Orkhan Mamedov專門(mén)發(fā)布了一篇研究報(bào)告，并在報(bào)告中詳細(xì)描述了WannaCry開(kāi)發(fā)者所犯的幾個(gè)嚴(yán)重的編碼錯(cuò)誤。

一、文件刪除機(jī)制中的邏輯錯(cuò)誤

研究人員表示，WannaCry在對(duì)目標(biāo)文件完成加密之后，會(huì)刪除原始文件，問(wèn)題就出在了這里。簡(jiǎn)單來(lái)說(shuō)，WannaCry首先會(huì)對(duì)目標(biāo)文件進(jìn)行重命名并將文件后綴名修改為“.WNCRYT”，然后對(duì)其進(jìn)行加密，最后刪除原始文件。

1. 恢復(fù)只讀文件

實(shí)際上，幾乎很少有惡意軟件能夠直接加密或修改只讀文件，而WannaCry同樣是如此。WannaCry首先會(huì)拷貝目標(biāo)文件，然后再對(duì)文件副本進(jìn)行加密。但需要注意的是，此時(shí)原始文件仍然沒(méi)變，只是被添加了一個(gè)“隱藏”屬性而已，因此用戶只需要調(diào)整這些文件的屬性即可完成文件恢復(fù)。

除此之外，WannaCry有時(shí)在加密完成之后甚至還無(wú)法成功刪除原始文件。

2. 恢復(fù)系統(tǒng)盤(pán)中的文件

保存在類似Desktop和Documents這種重要文件中的數(shù)據(jù)在沒(méi)有解密密鑰的情況下是無(wú)法被恢復(fù)的，因?yàn)閃annaCry在刪除它們之前會(huì)使用隨機(jī)數(shù)據(jù)覆蓋原始文件的內(nèi)容。

下圖顯示的是WannaCry在刪除原始文件之前，確定臨時(shí)存放目錄路徑的過(guò)程：

但是研究人員發(fā)現(xiàn)，保存在系統(tǒng)盤(pán)其他文件夾(非重要文件夾)中的文件是可以從臨時(shí)目錄(例如%TEMP%)中恢復(fù)的，但需要數(shù)據(jù)恢復(fù)軟件的幫助。研究人員表示，原始文件將會(huì)被移動(dòng)到%TEMP%\%d.WNCRYT(%d為數(shù)字值)，這些文件中包含了原始數(shù)據(jù)，而且數(shù)據(jù)沒(méi)有被覆蓋。

3. 恢復(fù)非系統(tǒng)盤(pán)中的文件

研究人員還發(fā)現(xiàn)，對(duì)于非系統(tǒng)盤(pán)，WannaCry會(huì)創(chuàng)建一個(gè)隱藏的“$RECYCLE”文件夾，并在加密完成之后將原始文件移動(dòng)到這個(gè)文件夾中。因此我們可以通過(guò)訪問(wèn)“$RECYCLE”文件夾來(lái)恢復(fù)這些文件。

除此之外，由于WannaCry代碼中存在的“同步錯(cuò)誤”，在很多情況下原始文件很有可能仍然保留在之前的目錄中，因此用戶也許可以使用數(shù)據(jù)恢復(fù)軟件來(lái)恢復(fù)那些非安全方式刪除的文件。

下圖顯示的是惡意軟件為原始文件構(gòu)建臨時(shí)存儲(chǔ)路徑的過(guò)程：

二、WannaCry受害者的救星：編碼錯(cuò)誤

WannaCry代碼中的這些編碼錯(cuò)誤給廣大受害者們帶來(lái)了希望。法國(guó)安全研究專家Adrien Guinet和Benjamin Delpy開(kāi)發(fā)出了第一款免費(fèi)的WannaCry解密工具-WanaKiwi【下載地址】，這款工具目前適用于Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008。

三、總結(jié)

實(shí)際上，除了上面這些編碼錯(cuò)誤之外，WannaCry的代碼中還存在大量其他的問(wèn)題，而且編碼質(zhì)量也非常差。WannaCry之所以能夠造成如此大的殺傷力，NSA泄漏的永恒之藍(lán)漏洞“功不可沒(méi)“。

現(xiàn)在距離WannaCry事件爆發(fā)已經(jīng)過(guò)去了一個(gè)月了，但此次事件背后的攻擊者其真實(shí)身份至今還沒(méi)有被確認(rèn)。目前，各國(guó)警方和網(wǎng)絡(luò)安全公司仍然在對(duì)WannaCry事件進(jìn)行調(diào)查，但暗網(wǎng)情報(bào)公司Flashpoint近期卻表示，根據(jù)他們的語(yǔ)言分析結(jié)果，他們認(rèn)為此次事件背后的始作俑者很有可能是中國(guó)黑客。