Al mes de maig de 2017, WannaCry, un ransomware pot haver causat estralls a tot el món quan va arribar a gairebé 300,000 ordinadors en 150 països en només 72 hores, però això no vol dir que fos una peça de ransomware d'alta qualitat. Sí, investigadors de seguretat de Kaspersky Labs recentment he descobert alguns errors de programació al codi del cuc de ransomware WannaCrypt.
Aquests errors de programació al codi del ransomware WannaCrypt podrien permetre a algunes de les seves víctimes per restaurar els fitxers bloquejats amb eines de recuperació gratuïtes disponibles públicament o fins i tot amb ordres simples, sense pagar cap clau de desxifratge.
Anton Ivanov, analista sènior de programari maliciós de Kaspersky Lab, juntament amb els col·legues Fedor Sinitsyn i Orkhan Mamedov, després d’investigar profundament el programari maliciós, han detallat tres errors crítics comesos pels desenvolupadors de WannaCry que podrien permetre a sysadmins restaurar fitxers potencialment perduts.
Segons els investigadors, el problema resideix en la forma en què el programari maliciós realitza el xifratge.
"Quan Wannacry xifra els fitxers de la seva víctima, llegeix del fitxer original, xifra el contingut i el desa al fitxer amb l'extensió" .WNCRYT ". Després del xifratge, mou ".WNCRYT" a ".WNCRY" i suprimeix el fitxer original. Aquesta lògica de supressió pot variar en funció de la ubicació i les propietats dels fitxers de la víctima ".
WannaCry copia els fitxers i en crea les còpies xifrades perquè no és possible que un programari maliciós xifri o modifiqui directament fitxers de només lectura. Tot i que els fitxers originals es mantenen intactes, però se'ls dóna un atribut "ocult", recuperar les dades originals simplement requereix que les víctimes restaurin els seus atributs normals.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Recuperació de fitxers de la unitat del sistema (és a dir, unitat C)
Segons els investigadors, els fitxers emmagatzemats a les "carpetes importants", com ara la carpeta Desktop o Documents, no es poden recuperar sense la clau de desxifratge perquè WannaCry ha estat dissenyat per sobreescriure fitxers originals amb dades aleatòries abans de retirar-los.

No obstant això, els investigadors van notar que altres fitxers emmagatzemats fora de les "carpetes importants" de la unitat del sistema es podrien restaurar des de la carpeta temporal mitjançant un programari de recuperació de dades.
"Si el fitxer s'emmagatzema fora de les carpetes" importants ", el fitxer original es mourà a% TEMP% \% d.WNCRYT (on% d denota un valor numèric). Aquests fitxers contenen les dades originals i no es sobreescriuen, simplement s’eliminen del disc, cosa que significa que hi ha moltes possibilitats que es puguin restaurar mitjançant un programari de recuperació de dades ”.
Recuperació de fitxers de les unitats que no són del sistema
Segons els investigadors, per a les unitats que no són del sistema, el WannaCry Ransomware crea una carpeta oculta "$ RECYCLE", que és invisible a l'Explorador de fitxers de Windows si té una configuració predeterminada. Després, el programari maliciós mou fitxers originals a aquest directori després del xifratge. Tanmateix, podeu recuperar aquests fitxers només mostrant la carpeta '$ RECYCLE'.

A més, a causa dels "errors de sincronització" al codi de ransomware, en molts casos els fitxers originals es mantenen al mateix directori i no es mouen a $ RECYCLE, cosa que permet a les víctimes restaurar fitxers suprimits de manera insegura mitjançant el programari de recuperació de dades disponible.
Errors de programació de WannaCry Ransomware:
Investigadors de Kaspersky Lab han descobert que aquest ransomware té un error en el processament de fitxers de només lectura. Si hi ha fitxers d’aquest tipus a la màquina infectada, el ransomware no els encriptarà en absolut. Només crearà una còpia encriptada de cada fitxer original, mentre que els fitxers originals només rebenocult”Atribut. Quan això passa, és fàcil trobar-los i restaurar-ne els atributs normals.

- Els desenvolupadors de ransomware han comès molts errors i la qualitat del codi és molt baixa.
- Si us heu infectat amb el ransomware de WannaCry, hi ha una bona possibilitat que pugueu restaurar molts fitxers de l'ordinador afectat.
- Per restaurar fitxers, podeu utilitzar les utilitats gratuïtes disponibles per a la recuperació de fitxers.
Article original font