Telefónica WannaCry File Restorer ¿Cómo recuperar información borrada por WannaCry?

jueves, 18 de mayo de 2017



Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una buena práctica es acordarse dónde se encuentra la información y una vez se ha llevado a cabo la limpieza de la infección, os queremos recordar que:
  • Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que éste los afectara. Os mostraremos en este artículo un trick que permitiría recuperar parcialmente información afectada por Wannacry.
  • Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red.
  • Información de unidades compartidas y las unidades en la cloud.
  • Información en el correo de Office365 y unidades de datos de Office 365.
  • Información en dispositivos extraíbles, como puede ser un pendrive.
  • Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección.
Otra recomendación que os damos es disponer en los equipos, puntos de restauración, de modo que se pueda volver a un punto anterior de ejecución del sistema. De esta forma, el usuario puede acceder a un estado anterior dónde no había infección y se puede parchear la vulnerabilidad y no sufrir daños, ni perder datos.  A continuación, te mostramos otra forma de recuperación mediante la herramienta RECUVA.


Hemos estado trabajando de una forma continua durante varios días para conocer al máximo detalle los efectos y debilidades del ransomware Wannacry. Hoy queremos explicaros los detalles que hemos ido conociendo para seguir con la lucha contra este tipo de lacra que amenaza a usuarios y a organizaciones. Se recomienda que este tipo de procedimientos en organizaciones solo sean ejecutados por los equipos de TI de la organización.

Hemos observado que el ransomware tiene dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas Wannacry utiliza una carpeta temporal para mover los archivos elegidos que el malware va a cifrar. Gracias a esto, se puede realizar un trick para poder recuperar parte de los archivos afectados por el ransomware.

En el primer caso, el malware identificará que el equipo tiene una partición de datos y utilizará la ruta %userprofile%\appdata\local\temp para mover los archivos y que Wannacry cifrará. El primer archivo que se mueve, es renombrado a 0.WNCRYT, el segundo, 1.WNCRYT y así sucesivamente. Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, eliminará el fichero *.WNCRYT correspondiente. El fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido, ya que éste no se ha cifrado.


Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, no se podrá recuperar todos los archivos.

En el segundo caso, el malware identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, la cual no debemos confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con objetivo de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT, el archivo no se ha perdido, por no estar cifrado. En el instante que Wannacry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya cifrado.

La pregunta es, ¿cuándo podemos encontrar este tipo de archivos? Por desgracia, no siempre. Cuando Wannacry cifra un archivo, el archivo temporal correspondiente es eliminado, por lo que se habría perdido. Si un usuario ha apagado o hibernado el equipo en un momento determinado de la ejecución o el cifrado del malware se habrá detenido el proceso, por lo que todos los ficheros que estuvieran en temporales, con extensión WNCRYT que no hubieran sido cifrados y posteriormente, eliminados, éstos serían recuperables. Dichos archivos temporales, se mantienen en %userprofile%\appdata\local\temp o $RECYCLE, dependiendo de los casos explicados anteriormente, siendo los mismos archivos que la víctima tenía, pero con otra extensión.

Si el ransomware ha terminado el proceso de cifrado de todos los archivos no queda ningún archivo temporal, por lo que no se podría recuperar mediante este método. Si, por el contrario, el ransomware no ha terminado el proceso de cifrado y el equipo se ha hibernado o apagado o se ha detenido el proceso de Wannacry, por lo que se podría llevar a cabo este proceso de recuperación parcial de información.

Por ejemplo, en la imagen anterior veíamos una gran cantidad de archivos temporales que Wannacry no había podido cifrar todavía. Si abriéramos uno de estos ficheros podemos visualizar que, en este caso, se trata de un archivo PDF por su cabecera.


Simplemente renombrando la extensión del archivo, podríamos volver a recuperar éste y su contenido. Para poder saber qué tipo de archivo es, os recomendamos analizar la cabecera del fichero, ya que el nombre original del archivo no está disponible.


En la siguiente imagen, podéis visualizar como abrimos el archivo que se acabamos de renombrar. Procedemos a cambiar el archivo del nombre 11339.WNCRYT a 11339.WNCRYT.pdf, cuando lo abrimos desde Windows se abre la aplicación asociada por defecto a la extensión., Como podéis ver en la imagen el archivo está intacto.

 

A continuación, os mostramos un script denominado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de Telefónica con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.


Telefonica Wannacry File Restorer v0.1 Alpha


Aquí podéis encontrar también, el script versión Alpha en nuestro GitHub, el cual estaremos actualizandolo de una forma constante.


Además, os recordamos que para evitar que este o cualquier otro ransomware en el futuro puedan cifraros vuestros archivos personales, podéis utilizar la herramienta que hicimos en ElevenPaths llamada Latch Antiransomware. En el siguiente vídeo podéis ver cómo funciona:


Instalación y configuración de Latch Antiransomware




Latch ARW: Una herramienta AntiRansomware




WannaCry con Latch AntiRansomware




7 comentarios:

  1. ... y un poco de Sangre Fría ... para no fallar ... en muchos casos es similar a una operación a corazón abierto... pero el paciente lo tienes detrás del hombro (y sin sedar)

    ResponderEliminar
  2. Buen artículo y script! Quizá hubiera estado bien desarrollar un poco más la opción y posibilidades que ofrece un escáner de superficie como Recuva. Teniendo en cuenta la pérdida de su eficacia cuando seguimos utilizando el PC.

    ResponderEliminar
  3. Se os olvida decir que el directorio $RECYCLED suele estar oculto con atributos de sistema y oculto. Si no los quitas no lo ves.

    ResponderEliminar
  4. En serio es sólo convertir en texto plano y cambiar el nombre lo que hace el grande, único y super poderoso wannacry???

    ResponderEliminar
  5. quisiera hacer la prueba , descarque la version de escritorio pero no se como ejecutarlo, alguien podria explicarme los pasos?

    ResponderEliminar
    Respuestas
    1. Descarga el ejecutable y abrelo. https://github.com/ElevenPaths/Telefonica-WannaCry-FileRestorer-Desktop/releases/download/Alpha/WannaCryFileRestorer.zip

      Eliminar