Ricercatori Kaspersky hanno individuato un “errore” nella programmazione del ransomware Wannacry, famoso per l’attacco a livello globale di qualche settimana fa. Il ransom infatti quando cripta i dati infatti legge il contenuto dal file originale, lo cripta e lo salva in un nuovo file, eliminando quello originario.
Per le cartelle importanti come il Desktop e i Documenti il file cancellato viene sovrascritto da scritture casuali, rendendo impossibile il recupero. Per le altre cartelle e file invece è possibile il recupero tramite un semplice software di recupero dati, come Recuva, visto che non vi è alcuna sovrascrittura casuale da parte del ransom.
Un altro errore sta che per alcuni file che risultano in sola lettura non avviene una vera e propria criptazione, o meglio avviene ma il file originale non viene eliminato, bensì gli viene applicato solo l’attributo “Hidden” o nascosto rendendolo quindi facilmente recuperabile.
Via: Securelist