6 de junio de 2017

WannaCry Ransomware tiene errores de codificación que pueden ayudarlo a restaurar archivos incluso después de una infección

Compartir0
Tweet0
Compartir0
Compartir0
Tweet0
Compartir0

En el mes de mayo de 2017, WannaCry, un ransomware puede haber causado estragos en todo el mundo cuando afectó a casi 300,000 PC en 150 países en solo 72 horas, pero eso no significa que fuera un ransomware de alta calidad. Sí, investigadores de seguridad de Kaspersky Labs Recientemente han descubierto algunos errores de programación en el código del gusano ransomware WannaCrypt.

Estos errores de programación en el código del ransomware WannaCrypt podrían permitir que algunas de sus víctimas para restaurar sus archivos bloqueados con herramientas de recuperación gratuitas disponibles públicamente o incluso con comandos simples, sin pagar ninguna clave de descifrado.

Anton Ivanov, analista senior de malware en Kaspersky Lab, junto con sus colegas Fedor Sinitsyn y Orkhan Mamedov, después de investigar en profundidad el malware, han detallado tres errores críticos cometidos por los desarrolladores de WannaCry que podrían permitir a los administradores de sistemas restaurar archivos potencialmente perdidos.

Según los investigadores, el problema reside en la forma en que el malware realiza el cifrado.

“Cuando Wannacry cifra los archivos de su víctima, lee el archivo original, cifra el contenido y lo guarda en el archivo con extensión“ .WNCRYT ”. Después del cifrado, mueve ".WNCRYT" a ".WNCRY" y elimina el archivo original. Esta lógica de eliminación puede variar según la ubicación y las propiedades de los archivos de la víctima ".

WannaCry copia los archivos y crea sus copias cifradas porque no es posible que un software malintencionado cifre o modifique directamente archivos de solo lectura. Si bien los archivos originales permanecen intactos pero se les asigna un atributo 'oculto', recuperar los datos originales simplemente requiere que las víctimas restauren sus atributos normales.

https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/

Recuperación de archivos de la unidad del sistema (es decir, unidad C)

Según los investigadores, los archivos almacenados en las "carpetas importantes", como la carpeta Escritorio o Documentos, no se pueden recuperar sin la clave de descifrado porque WannaCry ha sido diseñado para sobrescribir archivos originales con datos aleatorios antes de eliminarlos.

WannaCry ransomware tiene errores de codificación que pueden ayudarlo a restaurar archivos incluso después de una infección (1)
Archivos originales renombrados que se pueden restaurar desde% TEMP%

Sin embargo, los investigadores notaron que otros archivos almacenados fuera de las 'carpetas importantes' en la unidad del sistema podrían restaurarse desde la carpeta temporal utilizando un software de recuperación de datos.

“Si el archivo se almacena fuera de las carpetas 'importantes', entonces el archivo original se moverá a% TEMP% \% d.WNCRYT (donde% d denota un valor numérico). Estos archivos contienen los datos originales y no se sobrescriben, simplemente se eliminan del disco, lo que significa que existe una alta probabilidad de que sea posible restaurarlos utilizando un software de recuperación de datos ".

Recuperación de archivos de unidades que no son del sistema

Según los investigadores, para las unidades que no son del sistema, WannaCry Ransomware crea una carpeta oculta '$ RECYCLE', que es invisible en el Explorador de archivos de Windows si tiene una configuración predeterminada. Luego, el malware mueve los archivos originales a este directorio después del cifrado. Sin embargo, puede recuperar esos archivos simplemente mostrando la carpeta '$ RECYCLE'.

WannaCry ransomware tiene errores de codificación que pueden ayudarlo a restaurar archivos incluso después de una infección (2)
Archivos originales que se pueden restaurar desde una unidad que no es del sistema

Además, debido a "errores de sincronización" en el código del ransomware, en muchos casos los archivos originales permanecen en el mismo directorio y no se mueven a $ RECYCLE, lo que permite a las víctimas restaurar archivos borrados de forma insegura utilizando el software de recuperación de datos disponible.

Errores de programación de WannaCry Ransomware:

Los investigadores de Kaspersky Lab han descubierto que este ransomware tiene un error en el procesamiento de archivos de solo lectura. Si hay tales archivos en la máquina infectada, el ransomware no los cifrará en absoluto. Solo creará una copia encriptada de cada archivo original, mientras que los archivos originales solo obtendrán el "hidden”Atributo. Cuando esto sucede, es fácil encontrarlos y restaurar sus atributos normales.

WannaCry ransomware tiene errores de codificación que pueden ayudarlo a restaurar archivos incluso después de una infección (3)
los archivos rigurosos de solo lectura no están cifrados y permanecen en el mismo lugar
  • Los desarrolladores de ransomware han cometido muchos errores y la calidad del código es muy baja.
  • Si fue infectado con el ransomware WannaCry, existe una buena posibilidad de que pueda restaurar muchos de los archivos en la computadora afectada.
  • Para restaurar archivos, puede utilizar las utilidades gratuitas disponibles para la recuperación de archivos.

Artículo original fuente

Noticias, SISTEMA DE SEGURIDAD, Tecnología , ACTUALIZACIONES TÉCNICAS, tendencias

Imagen del autor

Acerca del autor. 

Chaitanya

{"email": "Dirección de correo electrónico no válida", "url": "Dirección del sitio web no válida", "obligatorio": "Falta el campo obligatorio"}