カスペルスキーは6月1日、マルウェア「WannaCry」によって暗号化されたファイルの多くをデータ復元ソフトで回復できる可能性が高いと発表した。WannaCryの解析で開発者のミスが判明したという。

5月12日頃から世界150カ国以上で30万台以上の端末に感染したとされるWannaCryは、ファイルを暗号化して身代金を要求するランサムウェアと、Windowsの脆弱性を突いて感染を広げるワームの主に2つの特徴を持つ。

ランサムウェアとしては、ファイルの暗号化時に、元のファイルのコンテンツを暗号化し、「.WNCRYT」の拡張子を持つファイルとして保存する。さらに拡張子を「.WNCRY」に変更し、元のファイルを削除する。ただしファイルを削除するロジックは、ファイルのある場所やファイルのプロパティによって異なることが分かった。



Wannacryの身代金要求メッセージ Wannacryの身代金要求メッセージ

同社によると、元のファイルがシステムドライブのデスクトップやドキュメントなどのフォルダに置かれていた場合は、ファイルがランダムなデータで上書きされた後に削除されるため、復元する術がないという。しかし、これらのフォルダ以外にあるファイルは、TEMPフォルダに移動され、「（任意の文字列）.WNCRYT」というファイルとして保存される。元のファイルは上書きされることなく削除されるだけで、データ復元ソフトを使えば、回復できる可能性が大いにあるという。

システムドライブ以外の場所に置かれたファイルは、WannaCryが隠し属性とシステム属性を設定した「$RECYCLE」というフォルダを作成した後に、このフォルダへ移動させようとする。しかし、WannaCryのコードには同期エラーあり、多くの場合で元のファイルが$RECYCLEフォルダへ移動せず、元の場所に残る。元のファイルが確実に消去されないため、このケースでもデータ復元ソフトによって元のファイルを回復できるとしている。

またWannaCryは、読み取り専用に設定されたファイルを暗号化しないことも分かった。この場合は、元のファイルに隠し属性を与えるだけで、ユーザーがファイルを探して属性を元に戻せば、復元できるという。

WannaCryが拡散し始めた当初は、暗号化されたファイルの回復方法が見つからないとされ、その後にセキュリティ研究者が、特定の条件下で回復できるツールを提供していた。カスペルスキーは、WannaCryの開発者が多くのミスをし、コードの質もかなり低いと指摘。万一WannaCryに感染してファイルを暗号化されても、一般的な復元ソフトを使えば多くのファイルを取り戻せるとアドバイスしている。