No mês de maio de 2017, WannaCry, um ransomware pode ter causado estragos em todo o mundo ao atingir quase 300,000 PCs em 150 países em apenas 72 horas, mas isso não significa que era um ransomware de alta qualidade. Sim, pesquisadores de segurança em Kaspersky Labs descobriram recentemente alguns erros de programação no código do worm ransomware WannaCrypt.
Esses erros de programação no código do ransomware WannaCrypt podem permitir que algumas de suas vítimas para restaurar seus arquivos bloqueados com ferramentas de recuperação gratuitas disponíveis publicamente ou mesmo com comandos simples, sem pagar por nenhuma chave de descriptografia.
Anton Ivanov, analista sênior de malware da Kaspersky Lab, junto com seus colegas Fedor Sinitsyn e Orkhan Mamedov, depois de pesquisar profundamente o malware, detalhou três erros críticos cometidos por desenvolvedores de WannaCry que podem permitir que administradores de sistemas restaurem arquivos potencialmente perdidos.
Segundo os pesquisadores, a questão reside na forma como o malware realiza a criptografia.
“Quando o Wannacry criptografa os arquivos da vítima, ele lê o arquivo original, criptografa o conteúdo e o salva no arquivo com a extensão“ .WNCRYT ”. Após a criptografia, ele move “.WNCRYT” para “.WNCRY” e exclui o arquivo original. Essa lógica de exclusão pode variar dependendo da localização e das propriedades dos arquivos da vítima. ”
O WannaCry copia os arquivos e cria suas cópias criptografadas porque não é possível para um software malicioso criptografar diretamente ou modificar arquivos somente leitura. Enquanto os arquivos originais permanecem intactos, mas recebem um atributo 'oculto', obter os dados originais de volta simplesmente requer que as vítimas restaurem seus atributos normais.
https://www.alltechbuzz.net/fix-wannacrypt-ransomware-backdoor/
Recuperando arquivos da unidade do sistema (ou seja, unidade C)
De acordo com os pesquisadores, os arquivos armazenados nas 'pastas importantes', como a pasta Desktop ou Documentos, não podem ser recuperados sem a chave de descriptografia porque o WannaCry foi projetado para substituir os arquivos originais com dados aleatórios antes da remoção.
No entanto, os pesquisadores notaram que outros arquivos armazenados fora de 'pastas importantes' na unidade do sistema podem ser restaurados da pasta temporária usando um software de recuperação de dados.
“Se o arquivo for armazenado fora de pastas 'importantes', o arquivo original será movido para% TEMP% \% d.WNCRYT (onde% d denota um valor numérico). Esses arquivos contêm os dados originais e não são substituídos, eles são simplesmente excluídos do disco, o que significa que há uma grande chance de ser possível restaurá-los usando um software de recuperação de dados. ”
Recuperando arquivos de unidades que não são do sistema
De acordo com os pesquisadores, para unidades que não são do sistema, o WannaCry Ransomware cria uma pasta oculta '$ RECYCLE', que é invisível no Windows File Explorer se tiver uma configuração padrão. O malware então move os arquivos originais para este diretório após a criptografia. No entanto, você pode recuperar esses arquivos apenas exibindo a pasta '$ RECYCLE'.
Além disso, devido a “erros de sincronização” no código do ransomware, em muitos casos os arquivos originais permanecem no mesmo diretório e não são movidos para $ RECYCLE, possibilitando que as vítimas restaurem arquivos excluídos de forma insegura usando o software de recuperação de dados disponível.
Erros de programação do WannaCry Ransomware:
Os pesquisadores da Kaspersky Lab descobriram que este ransomware tem um bug no processamento de arquivos somente leitura. Se houver esses arquivos na máquina infectada, o ransomware não os criptografará de forma alguma. Ele apenas criará uma cópia criptografada de cada arquivo original, enquanto os próprios arquivos originais receberão apenas o “escondido”Atributo. Quando isso acontece, é simples localizá-los e restaurar seus atributos normais.
- Os desenvolvedores de ransomware cometeram muitos erros e a qualidade do código é muito baixa.
- Se você foi infectado pelo ransomware WannaCry, há uma boa possibilidade de que você consiga restaurar muitos arquivos no computador afetado.
- Para restaurar arquivos, você pode usar os utilitários gratuitos disponíveis para recuperação de arquivos.
Artigo original fonte
