Los errores de codificación en el ransomware WannaCry pueden permitirte recuperar tus archivos

El ransomware WannaCry tiene un error de codificación que puede permitirte recuperar tu archivo

El mes pasado, el mundo de la computación fue sacudido por el ransomware WannaCry que, en su punto máximo, afectó a más de un cuarto de millón de PC en todo el mundo. Sin embargo, eso no significa que fuera un malware de alta calidad, ya que la investigación sobre el malware ha revelado informes que indican que puedes descifrar tus archivos sin necesidad de una clave de descifrado debido a fallos en el proceso de codificación de WannaCry.

La investigación paciente da sus frutos

Kaspersky Lab ha llegado a la conclusión de que el ransomware contenía errores en su código que permitirían a un usuario descifrar/restaurar sus archivos con herramientas disponibles públicamente o incluso con comandos básicos. Anton Ivanov, analista senior de malware en Kaspersky Lab, junto con sus colegas Fedor Sinitsyn y Orkhan Mamedov, tras investigar a fondo el malware, han detallado 3 errores críticos cometidos por los desarrolladores del malware que pueden permitir a un sysadmin restaurar estos archivos.

Según los investigadores, el problema reside en la forma en que el malware lleva a cabo la encriptación. El malware primero renombrará los archivos originales con la extensión “.WNCRYT”, luego los encriptará seguido de la eliminación de los archivos originales. Hace esto porque no es posible que un malware encripte o modifique directamente archivos de solo lectura.

Por lo tanto, los archivos originales permanecen intactos, recibiendo solo un atributo de “oculto” y, por lo tanto, restaurar los archivos solo requiere que el usuario restaure los atributos originales. Sin embargo, este no fue el único error, en algunos casos, el malware incluso falló en eliminar los archivos originales después de la encriptación.

Recuperación desde la unidad del sistema

Los investigadores han especificado que recuperar archivos que residían en ubicaciones importantes como Documentos o en las carpetas del Escritorio no será posible sin la clave de descifrado, ya que el malware fue codificado para sobrescribir los archivos originales con datos aleatorios antes de ser eliminados. Así, negando cualquier tipo de recuperación. Sin embargo, los datos de archivos que residían en otras ubicaciones podrían ser restaurados desde la carpeta temporal mediante un software de recuperación de datos.

“…el archivo original será movido a %TEMP%\%d.WNCRYT (donde %d denota un valor numérico). Estos archivos contienen los datos originales y no son sobrescritos,” dijeron los investigadores.

Los mismos investigadores también encontraron que el malware crearía una carpeta oculta ‘$RECYCLE’ donde transferiría todos los archivos originales después de encriptarlos, por lo que todo lo que necesitas hacer es desocultar el ‘$RECYCLE’ y recuperar todos tus archivos. En algunos casos, debido a “errores de sincronización”, los archivos originales a veces también permanecieron en sus directorios originales, lo que permitió a los usuarios recuperar sus archivos utilizando un software de recuperación de datos simple.

Esperanza para las víctimas de WannaCry

Estos errores llegan como un rayo de esperanza para las víctimas del malware que no pudieron recuperar sus archivos.

“Si fuiste infectado con el ransomware WannaCry, hay una buena posibilidad de que puedas restaurar muchos de los archivos en el ordenador afectado. La calidad del código es muy baja. Para restaurar archivos, puedes usar las utilidades gratuitas disponibles para la recuperación de datos.”

Los investigadores franceses Adrien Guinet y Benjamin Delpy hicieron posible la recuperación de archivos al crear una herramienta gratuita de descifrado de WannaCry que funciona en Windows XP, Windows 7, Windows Vista, Windows Server 2003 y Server 2008. Mientras tanto, el mundo aún busca a los perpetradores del ransomware que acaparó los titulares.

Fuente: The Hacker News