Erros de codificação no ransomware WannaCry podem permitir que você recupere seus arquivos

O ransomware WannaCry tem um erro de codificação que pode permitir que você recupere seu arquivo

No mês passado, o mundo da computação foi abalado pelo ransomware WannaCry que, em seu auge, afetou mais de um quarto de milhão de PCs em todo o mundo. No entanto, isso não significa que era um malware de alta qualidade, com pesquisas sobre o malware revelando que você pode descriptografar seus arquivos sem precisar de uma chave de descriptografia devido a falhas no processo de codificação do WannaCry.

A pesquisa paciente vale a pena

Kaspersky Lab, chegou à conclusão de que o ransomware continha erros em seu código que permitiriam a um usuário descriptografar/restaurar seus arquivos com ferramentas disponíveis publicamente ou até mesmo comandos básicos. Anton Ivanov, analista sênior de malware da Kaspersky Lab, junto com os colegas Fedor Sinitsyn e Orkhan Mamedov, após uma pesquisa aprofundada sobre o malware, detalharam 3 erros críticos cometidos pelos desenvolvedores do malware que podem permitir que um sysadmin restaure esses arquivos.

De acordo com os pesquisadores, o problema reside na forma como o malware realiza a criptografia. O malware primeiro renomeia os arquivos originais com a extensão “.WNCRYT”, depois os criptografa seguido pela exclusão dos arquivos originais. Ele faz isso porque não é possível para um malware criptografar ou modificar arquivos somente leitura diretamente.

Portanto, os arquivos originais permanecem intocados, com os arquivos recebendo apenas um atributo “oculto” e, portanto, restaurar os arquivos só requer que o usuário restaure os atributos originais. No entanto, esse não foi o único erro, em alguns casos, o malware até falhou em excluir os arquivos originais após a criptografia.

Recuperação do Disco do Sistema

Os pesquisadores especificaram que recuperar arquivos que estavam em locais importantes, como Documentos ou nas pastas da Área de Trabalho, não será possível sem a chave de descriptografia, uma vez que o malware foi codificado para sobrescrever os arquivos originais com dados aleatórios antes de serem excluídos. Assim, negando qualquer tipo de recuperação. No entanto, dados de arquivos que estavam em outros locais poderiam ser restaurados da pasta temporária por meio de um software de recuperação de dados.

“…o arquivo original será movido para %TEMP%\%d.WNCRYT (onde %d denota um valor numérico). Esses arquivos contêm os dados originais e não são sobrescritos,” disseram os pesquisadores.

Os mesmos pesquisadores também descobriram que o malware criaria uma pasta oculta ‘$RECYCLE’ onde transferiria todos os arquivos originais após criptografá-los, assim, tudo o que você precisa fazer é desocultar o ‘$RECYCLE’ e você recupera todos os seus arquivos. Em alguns casos, devido a “erros de sincronização”, os arquivos originais às vezes também permaneceram em seus diretórios originais, permitindo assim que os usuários recuperassem seus arquivos usando um software simples de recuperação de dados.

Esperança para as vítimas do WannaCry

Esses erros surgem como um raio de esperança para as vítimas do malware que não conseguiram recuperar seus arquivos.

“Se você foi infectado pelo ransomware WannaCry, há uma boa possibilidade de que você consiga restaurar muitos dos arquivos no computador afetado. A qualidade do código é muito baixa. Para restaurar arquivos, você pode usar as utilidades gratuitas disponíveis para recuperação de dados.”

Pesquisadores franceses Adrien Guinet e Benjamin Delpy tornaram a recuperação de arquivos possível ao criar uma ferramenta gratuita de descriptografia do WannaCry que funciona em Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Server 2008. Enquanto tudo isso, o mundo ainda caça os perpetradores do ransomware que chamou a atenção da mídia.

Fonte: The Hacker News