Những lỗi sai trên mã độc WannaCry có thể giúp nạn nhân phục hồi dữ liệu sau khi bị mã hóa

Không phải ai cũng hoàn hảo và hacker cũng không phải là ngoại lệ. Thỉnh thoảng, các nhà phát triển mã độc cũng mắc những lỗi sai trong chính mã độc của mình. Các chuyên gia bảo mật của Kaspersky Lab đã tìm ra những lỗi sai trên mã độc WannaCry, nhờ đó mà nạn nhân có thể phục hồi được dữ liệu sau khi mã hóa. Đây hẳn là một tin vui cho nạn nhân của WannaCry nói riêng và người dùng công nghệ nói chung. - theo Secure List.

Lỗi ngay trong logic xóa dữ liệu

Khi WannaCry mã hóa dữ liệu của nạn nhân, chúng sẽ đọc từ tập tin gốc, mã hóa nội dung và lưu chúng dưới định dạng “.WNCRYT”. Sau khi mã hóa, mã độc chuyển “.WNCRYT” thành “.WNCRY” và xóa tập tin gốc. Logic xóa tập tin có thể phụ thuộc vào vị trí và thiết lập của các tập tin của nạn nhân.

Tập tin được lưu trong ổ đĩa hệ thống

Nếu tập tin đang lưu ở một thư mục “quan trọng” (theo góc nhìn của nhà phát triển mã độc – như Desktop và Documents), thì tập tin gốc có thể bị chép đè lên bằng một số dữ liệu ngẫu nhiên trước khi bị xóa. Trong trường hợp này thì không có cách nào để khôi phục tập tin gốc.

Nếu tập tin đang lưu ở những thư mục “không quan trọng”, tập tin gốc có thể bị chuyển sang %TEMP%\%d.WNCRYT (với %d biểu thị một giá trị số). Những tập tin này chứa dữ liệu gốc và không bị chép đè lên, chúng chỉ đơn thuần bị xóa khỏi ổ đĩa, do đó khả năng phục hồi chúng bằng cách sử dụng phần mềm phục hồi dữ liệu là rất cao.

Các tập tin gốc đã bị đổi tên có thể được phục hồi từ %TEMP%

Tập tin được lưu ở những ổ đĩa khác

Mã độc sẽ tạo một thư mục “$RECYCLE” và thiết lập tính năng ẩn cho thư mục này. Điều này làm thư mục bị ẩn trong Windows File Explorer nếu người dùng đang xem với cài đặt mặc định. Mã độc dự định sẽ di chuyển các tập tin gốc vào đường dẫn này sau khi mã hóa.

Thủ tục xác định thư mục tạm thời để lưu trữ các tập tin gốc trước khi xóa

Dù sao thì bởi những lỗi trong tính năng đồng bộ của mã độc này trong nhiều trường hợp đã giữ cho các tập tin gốc nằm trong cùng 1 thư mục và không bị chuyển sang $RECYCLE.

Các tập tin gốc có thể được phục hồi từ các ổ đĩa không phải ổ hệ thống (non-system drive)

Các tập tin gốc bị xóa một cách không an toàn. Do đó, các phần mềm phục hồi dữ liệu có khả năng sẽ khôi phục lại được các tập tin đã xóa.

Lỗi xử lý tệp read-only

Trong khi phân tích mã độc WannaCry, các chuyên gia phát hiện ra rằng mã độc này có lỗi trong quá trình xử lý tệp read-only của nó. Nếu những tập tin này trên máy bị lây nhiễm thì sau đó, mã độc sẽ không mã hóa chúng. Mã độc sẽ chỉ tạo một bản sao được mã hóa của tập tin gốc, trong khi tập tin gốc chỉ thay đổi thành thuộc tính ẩn mà thôi. Nếu nạn nhân bị mã hóa, chỉ việc tìm và phục hồi các tập tin này thành trạng thái thuộc tính cũ.

Các tập tin gốc có định dạng read-only không bị mã hóa và ở ngay thư mục cũ

Kết luận

Theo như kết quả nghiên cứu của các chuyên gia bảo mật, rõ ràng mã độc này chứa nhiều lỗi và có chất lượng thấp. Do đó, nếu người dùng đã bị lây nhiễm mã độc này thì khả năng phục hồi lại những dữ liệu trên máy là rất cao. Để phục hồi những tập tin gốc, hãy sử dụng các công cụ phục hồi tập tin đã xóa để tìm lại tập tin gốc.

Chúc bạn thành công.

Minh Hương