Clicky

Errores de programación: La nueva esperanza para las víctimas de WannaCry

recuperación anti WannaCry

Errores de codificación en WannaCry pueden ayudar a la recuperación de datos incluso después de la infección

El mes pasado el ransomware WannaCry infectó en tan solo 72 horas a más de 300.000 PCs en todo el mundo, utilizando sus capacidades de auto-propagación para infectar PC Windows vulnerables dentro de la misma red, en particular aquellos que usan versiones vulnerables del SO.

Pero eso no significa que WannaCry sea una pieza de ransomware de alta calidad.

Los investigadores de seguridad han descubierto recientemente algunos errores de programación en el código del gusano ransomware WannaCrypt que podría permitir a las víctimas restaurar sus archivos bloqueados sin pagar por ninguna clave de descifrado.

Después de analizar profundamente el código de WannaCry, la compañía de seguridad en Kaspersky Lab encontró que el ransomware estaba lleno de errores que podrían permitir a algunas de sus víctimas restaurar sus archivos con herramientas de recuperación gratuitas públicamente disponibles o incluso con simples comandos.

Anton Ivanov, analista senior de malware en Kaspersky Lab, junto con sus colegas Fedor Sinitsyn y Orkhan Mamedov, detalló tres errores críticos cometidos por los desarrolladores de WannaCry que podrían permitir que los administradores de sistemas restauraran archivos potencialmente perdidos.

Según los investigadores, los problemas residen en la forma en que el ransomware WannaCry borra los archivos originales después del cifrado. En general, el malware cambia primero el nombre de los archivos para cambiar su extensión a ".WNCRYT", encriptarlos y luego borrar los archivos originales.

Recuperación de archivos de sólo lectura

ficheros de solo lectura cambiados por WannaCry

Dado que no es posible que el software malicioso cifre o modifique directamente archivos de sólo lectura, WannaCry copia los archivos y crea sus copias cifradas.

Mientras que los archivos originales permanecen intactos pero se les da un atributo 'oculto', recuperar los datos originales simplemente requiere que las víctimas restauren sus atributos normales.

Ese no fue el único error dentro del código de WannaCry, como en algunos casos en que el malware no puede eliminar los archivos después de cifrarlos correctamente.

Recuperación de archivos de la unidad del sistema (es decir, la unidad C)

Los investigadores han dicho que los archivos almacenados en las carpetas importantes, como la carpeta Escritorio o Documentos, no se pueden recuperar sin la clave de descifrado porque WannaCry se ha diseñado para sobrescribir los archivos originales con datos aleatorios antes de su eliminación.

Sin embargo, los investigadores notaron que otros archivos almacenados fuera de carpetas importantes en la unidad del sistema podrían ser restaurados de la carpeta temporal usando un software de recuperación de datos gratuito.

"... el archivo original se moverá a %TEMP%\%d.WNCRYT (donde %d denota un valor numérico). Estos archivos contienen los datos originales y no se sobrescriben", dijeron los investigadores.

Recuperación de archivos desde las unidades que no son del sistema

ficheros fuera del sistema

Los investigadores también encontraron que para las unidades que no son del sistema, WannaCry Ransomware crea una carpeta oculta '$RECYCLE' y mueve los archivos originales a este directorio después del cifrado. Se puede recuperar esos archivos simplemente deshaciendo la carpeta '$RECYCLE'.

Además, debido a los "errores de sincronización" en el código de WannaCry, en muchos casos los archivos originales permanecen en el mismo directorio, lo que hace posible que las víctimas restauren los archivos inseguros eliminados utilizando el software de recuperación de datos disponible.

Errores de programación: La nueva esperanza para las víctimas de WannaCry

Estos errores de programación en el código de WannaCry ofrecen esperanza a muchas víctimas.

"Si usted fue infectado con WansCry ransomware hay una buena posibilidad de que será capaz de restaurar una gran cantidad de archivos en el ordenador afectado", escribió Kaspersky Lab en un blog publicado el jueves pasado. "La calidad del código es muy baja".

"Para restaurar archivos, puede utilizar las utilidades gratuitas disponibles para la recuperación de datos".

La recuperación de los archivos infectados por WannaCry fue posible por primera vez por los investigadores franceses Adrien Guinet y Benjamin Delpy, quienes realizaron una herramienta gratuita de descifrado de WannaCry que funciona en Windows XP, Windows 7, Windows Vista, Windows Server 2003 y Server 2008.

Ha pasado casi un mes desde que la epidemia de WannaCry afectó a ordenadores de todo el mundo, pero aún no se han identificado a los hackers detrás del ransomware auto-propagado, que aprovecha las vulnerabilidades de Windows SMB robadas a la NSA, EternalBlue y DoublePulsar.

Mientras que la policía y las empresas de seguridad cibernética continúan buscando respuestas en torno a los orígenes de la campaña de WannaCry, la firma de inteligencia web Dark Flashpoint indicó recientemente que los autores podrían ser chinos, basado en su análisis lingüístico.

Jesus_Caceres