Kaspersky ประกาศสิ่งที่น่าสนใจในเรื่องของ WannaCry ขึ้นมาว่า การทำงานบางส่วนของ WannaCry อาจทำงานไม่สมบูรณ์และทำให้มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้โดยไม่ต้องจ่ายเงินแต่อย่างใด

Kaspersky พบว่าเมื่อ WannaCry เริ่มทำการเข้ารหัสมันจะทำการอ่านไฟล์ต้นฉบับ แล้วเริ่มทำการเข้ารหัสเนื้อหาของไฟล์และ save  เป็นไฟล์นามสกุล “.WNCRYT” หลังจากทำการเข้ารหัสจะเปลี่ยนจาก “.WNCRYT” ไปเป็น “.WNCRY” และลบไฟล์ต้นฉบับทิ้ง ซึ่งการกระทำนี้ขึ้นอยู่กับตำแหน่งและคุณสมบัติไฟล์ของเหยื่อด้วย

ถ้าโปรแกรมมองว่า folder ที่จะทำการเข้ารหัสเป็น folder “ที่สำคัญ” เช่น Desktop และ Documents เป็นต้น จากนั้นไฟล์หลักจะถูกเขียนทับด้วยข้อมูลแบบ random ก่อนจะลบทิ้ง ซึ่งหากเป็นแบบนั้น จะไม่สามารถกู้ไฟล์ใดๆได้เลย

แต่ถ้าไม่ใช่ตำแหน่งที่โปรแกรมที่คิดว่าสำคัญ โปรแกรมต้นฉบับจะถูกย้ายไปที่ %TEMP%\%d.WNCRYT โดย %d จะเป็นตัวเลข ไฟล์เหล่านี้จะมีข้อมูลต้นฉบับอยู่และไฟล์ดังกล่าวก็ไม่ได้ถูกเขียนทับด้วย ตัว WannaCry จะทำการลบไฟล์ไปเฉยๆ นั่นหมายความว่าเราสามารถมีโอกาสที่จะกู้ไฟล์เหล่านี้ขึ้นมาได้ด้วยโปรแกรม recovery ต่างๆ

อีกทั้งหากไฟล์ไม่ได้อยู่ใน drive file-system เช่น D:\ เป็นต้น, WannaCry จะทำการสร้าง folder $RECYCLE folder แล้ว set hidden+system (ทำตัวเป็น folder system และซ่อนไว้) หลังจากไฟล์ถูกเข้ารหัส WannaCry จะโยนไฟล์ต้นฉบับเข้าไปใน folder ดังกล่าว แต่อย่างไรก็ตามด้วยการทำงานผิดพลาดไม่ว่าจะด้วยเหตุผลใดๆก็ตาม ไฟล์เหล่านั้นจะไม่ได้ถูกโยนเข้า $RECYCLE ทำให้ไฟล์ต้นฉบับจะถูกลบทิ้งในรูปแบบที่ไม่ปลอดภัย ทำให้สามารถ restore ไฟล์ต้นฉบับเหล่านั้นด้วย software การกู้ไฟล์เช่นกัน

และ Kaspersky ยังพบอีกว่าหากมีไฟล์ที่เป็น read-only file (อ่านได้อย่างเดียว) อยู่ในเครื่อง ตัวโปรแกรมจะไม่เข้ารหัสไฟล์เหล่านั้น จะแค่ทำการเข้ารหัสไฟล์ที่ copy มาจากไฟล์เหล่านั้นอีกทีแทน ส่วนไฟล์ที่เป็น read-only ก็จะกลายเป็นถูกซ่อน(เปลี่ยนสถานะของไฟล์เป็น hidden)แทนที่จะลบทิ้ง ซึ่งทำให้ง่ายที่จะได้ไฟล์เหล่านั้นคืนมา

Source:: Kaspersky