上個月，WannaCry（“想哭”）勒索軟件通過自傳播能力僅在72小時內(nèi)就感染了全球超過30萬臺Windows計算機，尤其是感染了那些使用操作系統(tǒng)易受攻擊的計算機。
但這并不意味著WannaCry就是一款高質(zhì)量的勒索軟件。
安全研究人員最近在WannaCry勒索軟件蠕蟲中發(fā)現(xiàn)了一些編程錯誤受害者在無需支付任何解密密鑰的情況下就能恢復(fù)被鎖文件。深入分析WannaCry代碼后，卡巴斯基研究員發(fā)現(xiàn)代碼中充滿了錯誤，一些受害者能夠利用公開可獲取的免費恢復(fù)工具甚至是一些簡單命令就可恢復(fù)文件。
卡巴斯基研究員Anton Ivanov以及同事Fedor Sinitsyn和Orkhan Mamedov詳細(xì)說明了WannaCry開發(fā)人員所犯的三個嚴(yán)重錯誤，系統(tǒng)管理員可借此恢復(fù)丟失文件。研究人員指出，問題在于WannaCry勒索軟件解密后刪除原始文件的方式。通常來講，它會首先重命名文件將擴展改為”.WNCRYT”、加密，然后刪除原始文件。
恢復(fù)只讀文件
由于惡意軟件不可能直接加密或修改只讀文件，WannaCry會復(fù)制這些文件并創(chuàng)建加密版本。雖然原始文件并沒有動，但被賦予一個”hidden”屬性，要恢復(fù)原始數(shù)據(jù)僅需受害者恢復(fù)其正常屬性即可。

這并非WannaCry源代碼中的唯一錯誤，在某些情況下，它在加密后并未刪除文件。
從系統(tǒng)盤（C盤）中恢復(fù)文件
研究人員表示，存儲在重要文件夾中的文件如桌面或文檔文件夾在沒有解密密鑰的情況下無法被恢復(fù)，因為WannaCry旨在在恢復(fù)原始文件前用隨機數(shù)據(jù)覆寫原始文件。

然而，研究人員注意到存儲在系統(tǒng)盤重要文件夾之外的其它文件能通過使用數(shù)據(jù)恢復(fù)軟件從臨時文件夾中恢復(fù)。研究人員指出，“原始文件會被遷移到%TEMP%\%d.WNCRYT（%d指的是數(shù)值）。這些文件包含原始數(shù)據(jù)且并未被覆寫”。
從非系統(tǒng)盤中恢復(fù)文件
研究人員還發(fā)現(xiàn)對于非系統(tǒng)盤來說，WannaCry勒索軟件創(chuàng)建了一個隱藏的’$RECYCLE’文件夾并將原始文件加密后遷移到這個目錄下。只要將這個文件夾顯示隱藏就能恢復(fù)文件。
另外，由于WannaCry代碼中存在“同步錯誤”，在很多情況下，原始文件還位于相同的目錄下，這樣受害者就能通過可用的數(shù)據(jù)恢復(fù)軟件恢復(fù)被不安全刪除的文件。
程序錯誤：受害者的新希望
這些編程錯誤為很多受害者帶來了希望。卡巴斯基指出，WannaCry勒索軟件的代碼質(zhì)量很低。
此前法國研究員Adrien Guinet和Benjamin Delpy推出一款免費的WannaCry解密工具，在Windows XP、Windows 7、Windows Vista、Windows Server 2003和Server 2008上起作用。
雖然WannaCry肆虐全球已一月有余，但其幕后黑手尚未被識別出來。