Autores
A veces los desarrolladores de ransomware cometen errores en sus códigos. Estos errores pueden ayudar a las víctimas a recuperar el acceso a sus archivos originales después del ataque del ransomware. Este artículo es una breve descripción de varios errores cometidos por los desarrolladores de WannaCry.
Errores en la lógica de eliminación de archivos
Cuando WannaCry cifra los archivos de sus víctimas, lee un archivo original, codifica su contenido y lo guarda en un archivo con la extensión “.WNCRYT”. Después de cifrarlo, mueve “.WNCRYT” a “.WNCRY” y elimina el archivo original. Esta lógica de eliminación puede variar según la ubicación y las propiedades de los archivos de las víctimas.
Archivos ubicados en la unidad del sistema.
-
- Si el archivo está en una carpeta “importante” (desde el punto de vista de los ciberpiratas, por ejemplo, Escritorio y Documentos), entonces el archivo original se reescribe con datos aleatorios antes de su eliminación. En este caso, por desgracia, no hay manera de restaurar el contenido del archivo original.
- Si el archivo está fuera de una carpeta “importante”, entonces el archivo original se mueve a %TEMP%\%d.WNCRYT (donde %d es un valor numérico). Estos archivos contienen los datos originales y no se reescriben, sino que sencillamente se eliminan del disco, lo que significa que hay una alta probabilidad de restaurarlos mediante programas de recuperación de datos.
Archivos originales que cambiaron de nombres y se pueden recuperar desde %TEMP%
Los archivos se ubican en otras unidades (no la del sistema):
-
- El programa malicioso crea la carpeta “$RECYCLE” y le asigna atributos ocultar+sistema. Esto permite que la carpeta sea invisible para el Explorador de Archivos de Windows si tiene una configuración predeterminada. El ransomware intenta mover los archivos originales a este directorio después de cifrarlos.
El procedimiento que determina el directorio temporal para guardar los archivos originales antes de su eliminación.
- Sin embargo, debido a errores de sincronización en el código del programa malicioso, en muchos casos los archivos originales permanecen en el mismo directorio y no se mueven a $RECYCLE.
- Los archivos originales se borran de forma insegura. Esto permite restaurar los archivos eliminados mediante programas de recuperación de datos.
Archivos originales que pueden restaurarse en una unidad distinta a la del sistema
Procedimiento de construcción de una ruta temporal para un archivo original
Fragmento del código que llama a los procedimientos mencionados
Error de procesamiento de los archivos de sólo lectura
Mientras analizábamos WannaCry, también descbrimos que este ransomware tiene una falla en su procesamiento de archivos de sólo lectura. Si el equipo infectado contiene este tipo de archivos, entonces el programa malicioso no cifrará todos estos archivos. Sólo creará una copia codificada de cada archivo original, mientras que a los archivos originales sólo les asignará el atributo “oculto”. Cuando esto sucede, resulta sencillo encontrarlos y restaurar sus atributos normales.
Los archivos sólo lectura originales no se codifican y permanecen en la misma ubicación.
Conclusiones
A partir de nuestra profunda investigación de este ransomware, queda claro que sus desarrolladores cometieron muchos errores y que, como anotamos, la calidad del código es pobre.
Si tu equipo se ha infectado con WannaCry, existe una buena posibilidad de que puedas restaurar muchos de tus archivos. Para restaurar los archivos, puedes usar programas de recuperación de datos gratuitos y disponibles en Internet. Recomendamos a las organizaciones que compartan este artículo con sus administradores de sistemas para que puedan usar los programas de recuperación de datos en sus equipos infectados.
Autores
Fallas de WannaCry permiten restaurar archivos tras el ataque