Fouten in code van WannaCry kunnen toegang tot bestanden teruggeven

De code van de ransomware WannaCry zit vol met fouten. Sommige fouten kunnen er zelfs toe leiden dat slachtoffers de toegang tot hun bestanden weer terug kunnen krijgen zonder te betalen.

Dat stellen onderzoekers van beveiligingsbureau Kaspersky Lab. Veel van de bestanden kunnen volgens de wetenschappers teruggehaald worden met software die publiekelijk beschikbaar is.

Het komt bijvoorbeeld voor dat WannaCry niet alle bestanden die op alleen-lezen staan kan versleutelen. In plaats daarvan maakt de ransomware kopieën van de bestanden en versleutelt deze. De originele bestanden worden niet aangepast, maar op 'verborgen' gezet. Door de bestanden daar vanaf te halen, zijn ze weer terug te vinden. 

Ook worden bestanden die door de ontwikkelaars van WannaCry als niet belangrijk worden gezien, verplaatst naar een tijdelijke map op de computer. Daar staat de originele data dus in. De bestanden zijn wel verwijderd van de harde schijf, maar met data recovery-software is het mogelijk om ze terug te halen.

Bestanden die in belangrijke mappen staan, bijvoorbeeld Mijn Documenten of Desktop, worden wel overschreven met willekeurige data. Deze bestanden kunnen niet meer teruggehaald worden. 

File recovery

Er lijkt dus een goede kans te zijn dat de bestanden nog hersteld kunnen worden. "We raden gebruikers en organisaties aan om data recovery te gebruiken op de geïnfecteerde apparaten in hun netwerk", zegt Anton Ivanov, beveiligingsonderzoeker bij Kaspersky Lab.

Ook het ontgrendelen van bestanden op geïnfecteerde computers blijkt soms mogelijk. De Franse beveiligingsonderzoeker Benjamin Delpy maakte hier software voor die werkt op Windows 7, Server 2003, Server 2008 en Windows XP.

Lees meer over:
Tip de redactie