Mã độc tống tiền WannaCry: Lỗi lập trình giúp khôi phục tập tin mã hóa sau khi bị nhiễm

08:53 | 15/06/2017

Các nhà nghiên cứu của Kaspersky Lab đã phát hiện ra một số lỗi lập trình trong mã độc WannaCrypt, có thể cho phép người dùng khôi phục các tập tin bị mã hóa mà không cần mua khóa giải mã của tin tặc. Tuy có tốc độ lây lan rất cao, nhưng WannaCry không hẳn là một mã độc tống tiền quá phức tạp.



Anton Ivanov – chuyên gia cao cấp phân tích phần mềm độc hại của Kaspersky Lab, cùng các đồng nghiệp Fedor Sinitsyn và Orkhan Mamedov đã phát hiện ra rằng, có 3 lỗ hổng quan trọng trong mã lệnh của WannaCry cho phép nạn nhân khôi phục các tập tin đã bị mã hóa bằng các công cụ khôi phục miễn phí, hoặc thậm chí bằng các dòng lệnh đơn giản. 

Theo các nhà nghiên cứu, lỗ hổng nằm ở cách WannaCry xóa các tập tin gốc sau khi mã hóa. Nhìn chung, cơ chế mã hóa của WannaCry như sau: đầu tiên, đổi tên các tập tin để thay đổi phần mở rộng sang “.WCRCR”; sau đó, mã hóa các tập tin; cuối cùng, xóa các tập tin gốc.

Khôi phục các tập tin Read-only

Với những tập tin Read-only (chỉ đọc) mà WannaCry không thể trực tiếp mã hóa và sửa đổi, WannaCry sao chép các tập tin này và tạo các bản sao mã hóa mới.

Các tập tin Read-only gốc vẫn nguyên vẹn nhưng đã bị WannaCry cài đặt thuộc tính ẩn. Để lấy lại các tập tin này, nạn nhân chỉ cần khôi phục thuộc tính hiển thị bình thường.

Khôi phục các tập tin trong System Drive ( Ví dụ như ổ đĩa C)

Các tập tin được lưu trữ trong các thư mục quan trọng trên System Drive như Desktop hoặc Documents thì không thể khôi phục mà không cần khóa giải mã của tin tặc, vì WannaCry đã được thiết kế để ghi đè các dữ liệu ngẫu nhiên lên các tập tin gốc trước khi xóa.
Tuy nhiên, các tập tin khác không lưu trữ trên các thư mục quan trọng của System Drive có thể được khôi phục từ thư mục tạm thời Temp bằng các phần mềm khôi phục dữ liệu. Các tập tin gốc, chưa bị ghi đè đã được di chuyển sang %TEMP%\%d.WNCRYT (%d biểu thị một giá trị



Khôi phục tệp từ các ổ đĩa khác

Đối với các ổ đĩa không phải là ổ đĩa hệ thống, WannaCry tạo ra một thư mục '$RECYCLE' ẩn, và di chuyển các tập tin gốc vào thư mục này sau khi mã hóa. Có thể khôi phục lại các tập tin gốc này bằng cách cài đặt hiển thị cho thư mục '$RECYCLE'.

Ngoài ra, do “lỗi đồng bộ hoá” trong mã nguồn của WannaCry, trong nhiều trường hợp, các tập tin gốc vẫn nằm trong thư mục gốc, nên nạn nhân có thể khôi phục các tập tin bị xóa bằng cách sử dụng phần mềm khôi phục dữ liệu.


Các lỗ hổng trong  mã nguồn của WannaCry đem lại nhiều hy vọng cho các nạn nhân. Một số công cụ miễn phí có thể giải mã các tập tin bị mã hóa bởi WannaCry cũng đã được một số nhà nghiên cứu cho ra mắt, như WanaKiwi hay WannaKey. Tuy nhiên không phải trường hợp nào cũng có thể sử dụng được. Vì thế, người sử dụng nên tự biết bảo vệ mình bằng các biện pháp phòng chống mã độc tống tiền cơ bản, như sử dụng bức tường lửa, các chương trình Anti-Virus, Internet Security; cập nhật bản mới nhất của hệ điều hành; kiểm tra kỹ các đường liên kết trước khi nhấp chuột; sao lưu các dữ liệu quan trọng….