Les erreurs de codage dans le ransomware WannaCry peuvent vous permettre de récupérer vos fichiers

Le ransomware WannaCry a une erreur de codage qui peut vous permettre de récupérer vos fichiers

Le mois dernier, le monde de l’informatique a été secoué par le ransomware WannaCry qui, à son apogée, a affecté plus d’un quart de million de PC à travers le monde. Cependant, cela ne signifie pas que c’était un malware de haute qualité, des recherches sur le malware ont révélé que vous pouvez déchiffrer vos fichiers sans avoir besoin d’une clé de déchiffrement en raison de défauts dans le processus de codage de WannaCry.

La recherche patiente porte ses fruits

Kaspersky Lab, est arrivé à la conclusion que le ransomware contenait des erreurs dans son code qui permettraient à un utilisateur de déchiffrer/restaurer ses fichiers avec des outils disponibles publiquement ou même des commandes de base. Anton Ivanov, analyste senior en malware chez Kaspersky Lab, avec ses collègues Fedor Sinitsyn et Orkhan Mamedov, après avoir profondément recherché le malware, ont détaillé 3 erreurs critiques commises par les développeurs du malware qui peuvent permettre à un administrateur système de restaurer ces fichiers.

Selon les chercheurs, le problème réside dans la façon dont le malware effectue le chiffrement. Le malware renomme d’abord les fichiers originaux avec l’extension “.WNCRYT”, puis les chiffre suivi de la suppression des fichiers originaux. Il fait cela car il n’est pas possible pour un malware de chiffrer ou de modifier directement des fichiers en lecture seule.

Par conséquent, les fichiers originaux restent intacts, les fichiers ne recevant qu’un attribut “caché” et donc, restaurer les fichiers nécessite seulement que l’utilisateur restaure les attributs originaux. Ce n’était cependant pas la seule erreur, dans certains cas, le malware a même échoué à supprimer les fichiers originaux après le chiffrement.

Récupération depuis le disque système

Les chercheurs ont précisé que la récupération des fichiers qui se trouvaient dans des emplacements importants tels que les Documents ou dans les dossiers du Bureau ne sera pas possible sans la clé de déchiffrement, car le malware a été codé pour écraser les fichiers originaux avec des données aléatoires avant qu’ils ne soient supprimés. Ainsi, cela annule toute possibilité de récupération. Cependant, les données des fichiers qui se trouvaient dans d’autres emplacements pouvaient être restaurées depuis le dossier temporaire par le biais d’un logiciel de récupération de données.

“…le fichier original sera déplacé vers %TEMP%\%d.WNCRYT (où %d désigne une valeur numérique). Ces fichiers contiennent les données originales et ne sont pas écrasés,” ont déclaré les chercheurs.

Les mêmes chercheurs ont également découvert que le malware créerait un dossier caché ‘$RECYCLE’ où il transférerait tous les fichiers originaux après les avoir chiffrés, donc, tout ce que vous avez à faire est de dé-cacher le ‘$RECYCLE’ et vous récupérez tous vos fichiers. Dans certains cas, en raison de “erreurs de synchronisation”, les fichiers originaux sont parfois restés dans leurs répertoires d’origine, permettant ainsi aux utilisateurs de récupérer leurs fichiers en utilisant un simple logiciel de récupération de données.

Espoir pour les victimes de WannaCry

Ces erreurs viennent comme un rayon d’espoir pour les victimes du malware qui n’ont pas pu récupérer leurs fichiers.

“Si vous avez été infecté par le ransomware WannaCry, il y a de bonnes chances que vous puissiez restaurer beaucoup de fichiers sur l’ordinateur affecté. La qualité du code est très faible. Pour restaurer des fichiers, vous pouvez utiliser les utilitaires gratuits disponibles pour la récupération de données.”

Les chercheurs français Adrien Guinet et Benjamin Delpy ont rendu la récupération de fichiers possible en créant un outil de déchiffrement WannaCry gratuit qui fonctionne sur Windows XP, Windows 7, Windows Vista, Windows Server 2003 et Server 2008. Pendant ce temps, le monde continue de traquer les auteurs du ransomware qui fait la une des journaux.

Source : The Hacker News