Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Análisis Detallado:Fallas de WannaCry permiten restaurar archivos tras el ataque

  • 2 Respuestas
  • 2188 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado graphixx

  • *
  • Moderador
  • Mensajes: 1315
  • Actividad:
    6.67%
  • Reputación 17
  • Científico de BIG DATA
    • Ver Perfil
    • Sistemas y Controles
  • Skype: proyectosweb@sistemasycontroles.net
« en: Junio 05, 2017, 04:02:53 pm »

A veces los desarrolladores de ransomware cometen errores en sus códigos. Estos errores pueden ayudar a las víctimas a recuperar el acceso a sus archivos originales después del ataque del ransomware. Este artículo es una breve descripción de varios errores cometidos por los desarrolladores de WannaCry.

Errores en la lógica de eliminación de archivos

Cuando WannaCry cifra los archivos de sus víctimas, lee un archivo original, codifica su contenido y lo guarda en un archivo con la extensión “.WNCRYT”. Después de cifrarlo, mueve “.WNCRYT” a “.WNCRY” y elimina el archivo original. Esta lógica de eliminación puede variar según la ubicación y las propiedades de los archivos de las víctimas.

Archivos ubicados en la unidad del sistema.

Si el archivo está en una carpeta “importante” (desde el punto de vista de los ciberpiratas, por ejemplo, Escritorio y Documentos), entonces el archivo original se reescribe con datos aleatorios antes de su eliminación. En este caso, por desgracia, no hay manera de restaurar el contenido del archivo original.



Si el archivo está fuera de una carpeta “importante”, entonces el archivo original se mueve a %TEMP%\%d.WNCRYT (donde %d es un valor numérico). Estos archivos contienen los datos originales y no se reescriben, sino que sencillamente se eliminan del disco, lo que significa que hay una alta probabilidad de restaurarlos mediante programas de recuperación de datos.


Archivos originales que cambiaron de nombres y se pueden recuperar desde %TEMP%

Los archivos se ubican en otras unidades (no la del sistema):

El programa malicioso crea la carpeta “$RECYCLE” y le asigna atributos ocultar+sistema. Esto permite que la carpeta sea invisible para el Explorador de Archivos de Windows si tiene una configuración predeterminada. El ransomware intenta mover los archivos originales a este directorio después de cifrarlos.


El procedimiento que determina el directorio temporal para guardar los archivos originales antes de su eliminación.

  • Sin embargo, debido a errores de sincronización en el código del programa malicioso, en muchos casos los archivos originales permanecen en el mismo directorio y no se mueven a $RECYCLE.
  • Los archivos originales se borran de forma insegura. Esto permite restaurar los archivos eliminados mediante programas de recuperación de datos.


Archivos originales que pueden restaurarse en una unidad distinta a la del sistema.



Procedimiento de construcción de una ruta temporal para un archivo original


Fragmento del código que llama a los procedimientos mencionados

Error de procesamiento de los archivos de sólo lectura

Mientras analizábamos WannaCry, también descbrimos que este ransomware tiene una falla en su procesamiento de archivos de sólo lectura. Si el equipo infectado contiene este tipo de archivos, entonces el programa malicioso no cifrará todos estos archivos. Sólo creará una copia codificada de cada archivo original, mientras que a los archivos originales sólo les asignará el atributo “oculto”. Cuando esto sucede, resulta sencillo encontrarlos y restaurar sus atributos normales.


Los archivos sólo lectura originales no se codifican y permanecen en la misma ubicación.

Conclusiones

A partir de nuestra profunda investigación de este ransomware, queda claro que sus desarrolladores cometieron muchos errores y que, como anotamos, la calidad del código es pobre.

Si tu equipo se ha infectado con WannaCry, existe una buena posibilidad de que puedas restaurar muchos de tus archivos. Para restaurar los archivos, puedes usar programas de recuperación de datos gratuitos y disponibles en Internet. Recomendamos a las organizaciones que compartan este artículo con sus administradores de sistemas para que puedan usar los programas de recuperación de datos en sus equipos infectados.

Fuente: securelist.lat
« Última modificación: Junio 09, 2017, 01:53:19 pm por Gabriela »

Desconectado NewDealerKids

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Reputación 0
  • Cometo errores pero no soy un traidor
    • Ver Perfil
  • Skype: lucianolisandro
  • Twitter: lucianolmendez
« Respuesta #1 en: Junio 18, 2017, 10:34:52 pm »
Hola, buenas noches,
busque esas herramientas de recuperación, pero hay muchas,,,  exactamente a cuales programa te referís, para recuperar los archivos cifrados?
Gracias de antemano..salu2
Es irrevocable el paso de átomos a bits.

Desconectado graphixx

  • *
  • Moderador
  • Mensajes: 1315
  • Actividad:
    6.67%
  • Reputación 17
  • Científico de BIG DATA
    • Ver Perfil
    • Sistemas y Controles
  • Skype: proyectosweb@sistemasycontroles.net
« Respuesta #2 en: Junio 19, 2017, 08:16:31 pm »
Hola, buenas noches,
busque esas herramientas de recuperación, pero hay muchas,,,  exactamente a cuales programa te referís, para recuperar los archivos cifrados?
Gracias de antemano..salu2

Míralas acá compañero: https://underc0de.org/foro/noticias-informaticas-120/t32777/

 

¿Te gustó el post? COMPARTILO!



Un nuevo ataque cibernético contra el Pentágono revela "una verdad incómoda"

Iniciado por Mayk0

Respuestas: 0
Vistas: 1990
Último mensaje Agosto 10, 2015, 02:54:43 pm
por Mayk0
Microsoft retira Windows 10 October 2018 Update porque estaba borrando archivos

Iniciado por graphixx

Respuestas: 0
Vistas: 1341
Último mensaje Octubre 07, 2018, 05:58:44 pm
por graphixx
Detienen a menor acusado de organizar ataque contra la web "ElHacker".

Iniciado por Payasako

Respuestas: 0
Vistas: 1519
Último mensaje Febrero 17, 2015, 06:12:30 pm
por Payasako
Vulnerabilidad de Firefox permite que HTML robe otros archivos del dispositivo

Iniciado por Dragora

Respuestas: 0
Vistas: 456
Último mensaje Julio 04, 2019, 01:57:41 pm
por Dragora
Tool para desencriptar PyLocky Ransomware - Desbloquear archivos gratis

Iniciado por AXCESS

Respuestas: 0
Vistas: 786
Último mensaje Enero 11, 2019, 04:11:49 pm
por AXCESS