WannaCry erros que podem ajudá-lo a restaurar arquivos após a infecção

Às vezes, os desenvolvedores do ransomware cometem erros no seu código. Esses erros podem ajudar as vítimas a recuperar o acesso aos arquivos originais após uma infecção pelo ransomware. Este artigo é uma breve descrição de vários erros, que foram feitos pelos desenvolvedores de recursos de WannaCry.

Erros na lógica de remoção de arquivos

Quando o Wannacry criptografa os arquivos de sua vítima, ele lê do arquivo original, criptografa o conteúdo e o salva no arquivo com a extensão “.WNCRYT”. Após a encriptação, ele move “.WNCRYT” para “.WNCRY” e exclui o arquivo original. Essa lógica de exclusão pode variar dependendo da localização e propriedades dos arquivos da vítima.

Os arquivos estão localizados na unidade do sistema:

    • Se o arquivo estiver em uma pasta “importante” (do ponto de vista dos desenvolvedores de malware – por exemplo, Desktop e Documentos), o arquivo original será substituído por dados aleatórios antes da remoção. Neste caso, infelizmente, não há como restaurar o conteúdo do arquivo original.

    • Se o arquivo for armazenado fora das pastas ‘importantes’, o arquivo original será movido para %TEMP%% d.WNCRYT (onde % d denota um valor numérico). Esses arquivos contêm os dados originais e não são substituídos, eles são simplesmente excluídos do disco, o que significa que há uma chance alta de que será possível restaurá-los usando o software de recuperação de dados.

Arquivos originais renomeados que podem ser restaurados de %TEMP%

Os arquivos estão localizados em outras unidades (não-sistema):

    • O Ransomware cria a pasta “$RECYCLE” e define os atributos ocultos do sistema para esta pasta. Isso torna essa pasta invisível no Windows File Explorer se tiver uma configuração padrão. O malware pretende mover os arquivos originais para este diretório após a criptografia.

O procedimento que determina o diretório temporário para armazenar arquivos originais antes da remoção

  • No entanto, devido a erros de sincronização no código do ransomware em muitos casos, os arquivos originais permanecem no mesmo diretório e não são movidos para $RECYCLE.
  • Os arquivos originais são excluídos de forma não segura. Esse fato torna possível restaurar os arquivos excluídos usando o software de recuperação de dados.

Arquivos originais que podem ser restaurados a partir de uma unidade não-sistema

O procedimento que constrói o caminho temporário para um arquivo original

O pedaço de código que chama os procedimentos acima

Erro no processamento de arquivos somente leitura

Ao analisar o WannaCry, também descobrimos (Anton Ivanov, Fedor Sinitsyn, Orkhan Mamedov) que este ransomware tem um erro em seu processamento de arquivos somente leitura. Se houver tais arquivos na máquina infectada, o ransomware não os criptografará. Ele só criará uma cópia criptografada de cada arquivo original, enquanto os arquivos originais somente obterão o atributo “oculto”. Quando isso acontece, é simples encontrá-los e restaurar seus atributos normais.

Os arquivos de somente leitura originais não são criptografados e permanecem no mesmo local

Conclusões

A partir de nossa (Anton Ivanov, Fedor Sinitsyn, Orkhan Mamedov) pesquisa em profundidade neste ransomware, é claro que os desenvolvedores do ransomware cometeu muitos erros e, como ressaltamos, a qualidade do código é muito baixa.

Se você estava infectado com o Wanser Ransomware, há uma boa possibilidade de que você possa restaurar muitos dos arquivos no computador afetado. Para restaurar arquivos, você pode usar os utilitários gratuitos disponíveis para recuperação de arquivos. Recomendamos (Anton Ivanov, Fedor Sinitsyn, Orkhan Mamedov) que as organizações compartilhem este artigo com seus administradores de sistema, pois podem usar os utilitários de recuperação de arquivos em máquinas afetadas em sua rede.

 

Autores: Anton Ivanov, Fedor Sinitsyn, Orkhan Mamedov.

Fontehttps://securelist.com/blog/research/78609/wannacry-mistakes-that-can-help-you-restore-files-after-infection/, acesso em  Junho 1, 2017. 7:00 am.