Errores de Wannacry que pueden ayudar a recuperar archivos después de la infección

A veces los desarrolladores de ransomware cometen errores de programación. Estos errores pueden ayudar a las víctimas a recuperar el acceso a sus archivos originales después de una infección (por supuesto, nos referimos sin necesidad de pagar). Uno de los mejores ejemplos, lo tenéis en un artículo de Kapersky del pasado 1 de junio en el que publicaban una breve descripción de varios errores en el desarrollo de, casi con total seguridad, el ransomware más famoso hasta la fecha: Wannacry.

Errores en la lógica del borrado de archivos

Cuando Wannacry cifra los archivos de su víctima, lee desde el archivo original, cifra el contenido y lo guarda en el archivo con la extensión ".WNCRYT". Después del cidfrado mueve ".WNCRYT" a ".WNCRY" y elimina el archivo original. Esta lógica de borrado puede variar dependiendo de la ubicación y las propiedades de los archivos de la víctima.

Archivos que se encuentran en la unidad del sistema:

Si el archivo se encuentra en una carpeta "importante" (desde el punto de vista de los desarrolladores de programas maliciosos, por ejemplo, Escritorio y Documentos), el archivo original se sobrescribirá con datos aleatorios antes de su eliminación. En este caso, por desgracia, no hay forma de restaurar el contenido del archivo original.


Si el archivo se almacena fuera de carpetas "importantes", el archivo original se moverá a %TEMP%\%d.WNCRYT (donde %d es un valor numérico). Estos archivos contienen los datos originales y no se sobrescriben, simplemente se eliminan del disco, lo que significa que existen muchas posibilidades de que se puedan restaurar con algún software de recuperación de datos. En el ej. Recuva:



Archivos que se encuentran en otras unidades (que no son del sistema):

El ransomware crea la carpeta "$RECYCLE" y establece los atributos 'oculto' y de 'sistema' en esa carpeta. Esto hace que esta carpeta sea invisible para el Explorador de archivos de Windows si tiene la configuración predeterminada. El malware mueve los archivos originales a este directorio después del cifrado.


Sin embargo, debido a errores de sincronización en el código del ransomware, en muchos casos los archivos originales permanecen en el mismo directorio y no se mueven a $RECYCLE.

Los archivos originales se eliminan de forma no segura, por lo que vuelve a ser posible restaurar los archivos eliminados utilizando software de recuperación de datos.





Error de procesamiento de archivos de sólo lectura

Al analizar WannaCry, también descubrieron que este ransomware tiene un error en su procesamiento de archivos de sólo lectura. Si hay archivos de este tipo en la máquina infectada, el ransomware no los cifrará. Sólo creará una copia cifrada de cada archivo original, mientras que los archivos originales sólo obtendrán el atributo "oculto". Cuando esto sucede, es fácil encontrarlos y restaurar sus atributos normales.


Conclusiones

Según Kapersky, está claro que los desarrolladores de este ransomware han cometido muchos errores y, como señalan, la calidad del código es muy baja.

La conclusión es que si has sido infectado con WanaCry hay muchas posibilidades de restaurar una gran cantidad de los archivos en el ordenador afectado. Para ello, se pueden utilizar utilidades gratuitas disponibles para la recuperación de archivos.

Comentarios