Gli errori di codifica nel ransomware WannaCry possono permetterti di recuperare i tuoi file

Il ransomware WannaCry ha un errore di codifica che può permetterti di recuperare i tuoi file

Il mese scorso, il mondo dell’informatica è stato scosso dal ransomware WannaCry che, al suo apice, ha colpito oltre un quarto di milione di PC in tutto il mondo. Tuttavia, ciò non significa che fosse un malware di alta qualità, con ricerche sul malware che hanno riportato che puoi decriptare i tuoi file senza bisogno di una chiave di decrittazione a causa di difetti nel processo di codifica di WannaCry.

La ricerca paziente ripaga

Kaspersky Lab, è giunta alla conclusione che il ransomware conteneva errori nel suo codice che avrebbero permesso a un utente di decriptare/restaurare i propri file con strumenti disponibili pubblicamente o anche comandi di base. Anton Ivanov, analista senior di malware presso Kaspersky Lab, insieme ai colleghi Fedor Sinitsyn e Orkhan Mamedov, dopo aver approfondito la ricerca sul malware, hanno dettagliato 3 errori critici commessi dagli sviluppatori del malware che possono consentire a un sysadmin di ripristinare questi file.

Secondo i ricercatori, il problema risiede nel modo in cui il malware esegue la crittografia. Il malware prima rinomina i file originali con l’estensione “.WNCRYT”, poi li crittografa seguito dalla cancellazione dei file originali. Fa questo perché non è possibile per un malware crittografare o modificare direttamente file di sola lettura.

Pertanto, i file originali rimangono intatti con i file che ricevono solo un attributo “nascosto” e quindi, ripristinare i file richiede solo che l’utente ripristini gli attributi originali. Tuttavia, questo non è stato l’unico errore, in alcuni casi, il malware ha persino fallito nel cancellare i file originali dopo la crittografia.

Recupero dal disco di sistema

I ricercatori hanno specificato che recuperare file che si trovavano in posizioni importanti come Documenti o nelle cartelle Desktop non sarà possibile senza la chiave di decrittazione poiché il malware è stato codificato per sovrascrivere i file originali con dati casuali prima che vengano eliminati. Pertanto, negando qualsiasi tipo di recupero. Tuttavia, i dati da file che si trovavano in altre posizioni potrebbero essere ripristinati dalla cartella temporanea tramite un software di recupero dati.

“…il file originale sarà spostato in %TEMP%\%d.WNCRYT (dove %d denota un valore numerico). Questi file contengono i dati originali e non vengono sovrascritti,” hanno detto i ricercatori.

Gli stessi ricercatori hanno anche scoperto che il malware creerebbe una cartella nascosta ‘$RECYCLE’ dove trasferirebbe tutti i file originali dopo averli crittografati, quindi, tutto ciò che devi fare è rendere visibile la ‘$RECYCLE’ e recuperi tutti i tuoi file. In alcuni casi, a causa di “errori di sincronizzazione”, i file originali a volte sono rimasti nelle loro directory originali, consentendo così agli utenti di recuperare i propri file utilizzando semplici software di recupero dati.

Speranza per le vittime di WannaCry

Questi errori arrivano come un raggio di speranza per le vittime del malware che non sono state in grado di recuperare i propri file.

“Se sei stato infettato dal ransomware WannaCry, c’è una buona possibilità che tu possa ripristinare molti dei file sul computer colpito. La qualità del codice è molto bassa. Per ripristinare i file, puoi utilizzare le utility gratuite disponibili per il recupero dei dati.”

I ricercatori francesi Adrien Guinet e Benjamin Delpy hanno reso possibile il recupero dei file creando uno strumento di decrittazione gratuito per WannaCry che funziona su Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Server 2008. Mentre tutto ciò accade, il mondo continua a cercare i colpevoli del ransomware che ha catturato l’attenzione dei media.

Fonte: The Hacker News