Análisis Detallado:Fallas de WannaCry permiten restaurar archivos tras el ataque

Iniciado por graphixx, Junio 05, 2017, 04:02:53 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 05, 2017, 04:02:53 PM Ultima modificación: Junio 09, 2017, 01:53:19 PM por Gabriela

A veces los desarrolladores de ransomware cometen errores en sus códigos. Estos errores pueden ayudar a las víctimas a recuperar el acceso a sus archivos originales después del ataque del ransomware. Este artículo es una breve descripción de varios errores cometidos por los desarrolladores de WannaCry.

Errores en la lógica de eliminación de archivos

Cuando WannaCry cifra los archivos de sus víctimas, lee un archivo original, codifica su contenido y lo guarda en un archivo con la extensión ".WNCRYT". Después de cifrarlo, mueve ".WNCRYT" a ".WNCRY" y elimina el archivo original. Esta lógica de eliminación puede variar según la ubicación y las propiedades de los archivos de las víctimas.

Archivos ubicados en la unidad del sistema.

Si el archivo está en una carpeta "importante" (desde el punto de vista de los ciberpiratas, por ejemplo, Escritorio y Documentos), entonces el archivo original se reescribe con datos aleatorios antes de su eliminación. En este caso, por desgracia, no hay manera de restaurar el contenido del archivo original.



Si el archivo está fuera de una carpeta "importante", entonces el archivo original se mueve a %TEMP%\%d.WNCRYT (donde %d es un valor numérico). Estos archivos contienen los datos originales y no se reescriben, sino que sencillamente se eliminan del disco, lo que significa que hay una alta probabilidad de restaurarlos mediante programas de recuperación de datos.


Archivos originales que cambiaron de nombres y se pueden recuperar desde %TEMP%

Los archivos se ubican en otras unidades (no la del sistema):

El programa malicioso crea la carpeta "$RECYCLE" y le asigna atributos ocultar+sistema. Esto permite que la carpeta sea invisible para el Explorador de Archivos de Windows si tiene una configuración predeterminada. El ransomware intenta mover los archivos originales a este directorio después de cifrarlos.


El procedimiento que determina el directorio temporal para guardar los archivos originales antes de su eliminación.


  • Sin embargo, debido a errores de sincronización en el código del programa malicioso, en muchos casos los archivos originales permanecen en el mismo directorio y no se mueven a $RECYCLE.
  • Los archivos originales se borran de forma insegura. Esto permite restaurar los archivos eliminados mediante programas de recuperación de datos.


Archivos originales que pueden restaurarse en una unidad distinta a la del sistema.



Procedimiento de construcción de una ruta temporal para un archivo original


Fragmento del código que llama a los procedimientos mencionados

Error de procesamiento de los archivos de sólo lectura

Mientras analizábamos WannaCry, también descbrimos que este ransomware tiene una falla en su procesamiento de archivos de sólo lectura. Si el equipo infectado contiene este tipo de archivos, entonces el programa malicioso no cifrará todos estos archivos. Sólo creará una copia codificada de cada archivo original, mientras que a los archivos originales sólo les asignará el atributo "oculto". Cuando esto sucede, resulta sencillo encontrarlos y restaurar sus atributos normales.


Los archivos sólo lectura originales no se codifican y permanecen en la misma ubicación.

Conclusiones

A partir de nuestra profunda investigación de este ransomware, queda claro que sus desarrolladores cometieron muchos errores y que, como anotamos, la calidad del código es pobre.

Si tu equipo se ha infectado con WannaCry, existe una buena posibilidad de que puedas restaurar muchos de tus archivos. Para restaurar los archivos, puedes usar programas de recuperación de datos gratuitos y disponibles en Internet. Recomendamos a las organizaciones que compartan este artículo con sus administradores de sistemas para que puedan usar los programas de recuperación de datos en sus equipos infectados.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi Blog Personal
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Junio 18, 2017, 10:34:52 PM #1
Hola, buenas noches,
busque esas herramientas de recuperación, pero hay muchas,,,  exactamente a cuales programa te referís, para recuperar los archivos cifrados?
Gracias de antemano..salu2
Es irrevocable el paso de átomos a bits.
Junio 19, 2017, 08:16:31 PM #2
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola, buenas noches,
busque esas herramientas de recuperación, pero hay muchas,,,  exactamente a cuales programa te referís, para recuperar los archivos cifrados?
Gracias de antemano..salu2

Míralas acá compañero: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi Blog Personal
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario