Herramientas para recuperar archivos cifrados por WannaCry

Herramientas para recuperar archivos cifrados por WannaCry

Internet tiene sus cosas buenas y malas. Entre las malas, por ejemplo, que puedes infectarte con un ransomware como WannaCry sin apenas darte cuenta y en segundos. Entre las cosas buenas que tiene, sin embargo, es que alguien al otro lado del mundo podría encontrar una solución tan solo unos días después.

¿Es ya posible recuperar archivos infectados por este ransomware? Si y no. Es decir, sí en algunos sistemas y en determinadas circunstancias y no en términos absolutos. Sin embargo, es un comienzo muy prometedor y que demuestra la importancia de colaborar en una idea desde diferentes partes del mundo.

A continuación hablaremos de dos ideas diferentes, una desarrollada por dos investigadores franceses y la segunda, que viene de la mano del conocido Chema Alonso y sus colaboradores de ElevenPaths.

Recuperar archivos cifrados por WannaCry

Antecedentes: Wannakey

Hace escasos días, un experto en seguridad francés desarrolló una herramienta –WannaKey– que ha permitido recuperar claves RSA en Windows XP y, desde su última versión, también en sistemas posteriores. El principio a tener en cuenta aquí es que este software no intenta “romper” dicha clave RSA, sino que busca en memoria los números primos correspondientes para reconstruirla.

[…] no es un error del autor sino un fallo de Windows XP -los mismos autores se aseguran de deshacerse de la clave asignada al usuario tan pronto esta ya no es necesaria- y dicha clave nunca toca el disco, si no ha sido antes encriptada con la clave pública del atacante.

(1/2) Recuperación con WannaKiwi

WannaKiwi sigue el mismo concepto. Como en el caso anterior, donde Windows XP “filtraba” información sobre las numeraciones utilizadas en su API criptográfica, vemos que en Windows 7 el problema sigue presente. De hecho, se ha comprobado posteriormente su validez en los siguientes sistemas operativos:

  • Windows XP (32 y 64 bits)
  • Windows 7 (32 y 64 bits)
  • Windows Server 2003 (32 y 64 bits)
  • Windows Vista (32 y 64 bits)
  • Windows Server 2008 y R2 (32 y 64 bits)

Como usar la herramienta

Importante: NO REINICIAR el sistema afectado y lanzar la herramienta WannaKiwi lo antes posible.

wannakiwi.exe <PID>

El PID o identificador de proceso es un valor opcional (en principio no es necesario identificarlo), dado que wannakiwi busca los procesos wnry.exe / wcry.exe.

  • Descargaremos wanakiwi
  • El software buscará automáticamente el archivo 00000000.pky
  • Rezaremos lo que sepamos, para que los números primos utilizados por el ransomware no hayan sido sobreescritos por otros procesos (por eso es importante hacerlo rápido).

Ejemplo en Windows XP

Wannacry GIF - Find & Share on GIPHY

Ejemplo en Windows 7

Wannacry GIF - Find & Share on GIPHY

Conclusiones

Ya hemos comentado anteriormente que este método es posible mediante la búsqueda de números primos que permanecen en memoria volátil, tras haber servido su propósito al ransomware previamente. Esto es solo posible si dichas parcelas de memoria no han sido sobre-escritas. Por lo tanto, es tan importante darse prisa como no reiniciar el sistema.

(2/2) Telefonica WannaCry FileRestorer

El siguiente programa pretende devolvernos algunos de los archivos que puedan haber sido modificados por el ransomware, pero en ningún caso todos. Y esto es así, precisamente, porque el software aprovecha un pequeño fallo en la forma en que Wannacrypt opera con los archivos durante la fase de cifrado. Así lo explican en su blog:

[…] Si un usuario ha apagado o hibernado el equipo en un momento determinado de la ejecución o el cifrado del malware se habrá detenido el proceso, por lo que todos los ficheros que estuvieran en temporales, con extensión WNCRYT que no hubieran sido cifrados y posteriormente, eliminados, éstos serían recuperables […]

Funcionamiento

El caso es que este ransomware, como tantos otros, mueve los archivos que va a procesar a una carpeta temporal (%userprofile%\appdata\local\temp) donde se quedarán mientras dure el cifrado, para después vaciarse y recibir el siguiente lote de archivos.

Durante su estancia en esa ruta, de forma previa al cifrado, los archivos son renombrados de forma secuencial con la extensión WNCRYT, quedando secuencias como: 0.WNCRYT, 1. WNCRYT, 2.WNCRYT…hasta que sean encriptados y queden con un formato tipo [nombre_de_archivo].WNCRY.

wannacry1

Como habréis podido deducir, los archivos WNCRYT solo han cambiado de extensión hasta que son realmente procesados, por lo que siguen siendo recuperables (solo perderían su extensión y nombre originales, pero es posible ver la cabecera del archivo con un programa como Notepad++ y extraer su extensión correcta):

wannacry2

Script Telefonica Wannacry File Restorer

Teniendo en cuenta lo anterior, desde ElevenPaths han desarrollado un interesante script en PowerShell que tiene como objetivo recuperar esos ficheros intermedios, que no han sido cifrados pero tampoco se encuentran ya en su ubicación original, para devolverlos a la vida de forma rápida.

Esto solo sería de utilidad si hemos interrumpido el proceso de cifrado antes de que haya finalizado. Por eso, como en el caso anterior, sugiero ser siempre muy reactivo ante este tipo de amenazas. La rapidez de reacción es buena parte del éxito. Y recuerda que estos ataques continuarán, así que actualiza y estate siempre alerta.

Descarga Telefonica Wannacry File Restorer

Descarga Telefonica Wannacry File Restorer

Versión de escritorio

Más información sobre Wannacrypt

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s