Cabecera-v2-web.jpg

Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.


Si has sido afectado por el ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lo ideal serí­a que tuvieras un backup desconectado o en la nube al que pudieras recurrir, así­ como que los tuvieras protegidos por una solución como Latch Antiransomware. Si no es así­, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.

Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.

Las extensiones no cifradas de documentos ofimáticos

Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra.
Excluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberí­as buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:

  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.
Además, si eres un usuario avanzado de Excel, recuerda que existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros VBA o plantillas, pero otros son formatos XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de EXCEL a ver qué ficheros con estas extensiones tienes guardados.

Papeleras de reciclaje de carpetas sincronizadas en la nube

Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí­ muchos servicios tienen la papelera de reciclaje activada

Ficheros temporales de WannaCry

Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.

Wanna1.jpg


En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así­ sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí­ un alto porcentaje de ellos.

En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raí­z de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.

Telefónica WannaCry File Restorer

Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.
A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.


Wanna5.jpg


En el siguiente ví­deo puedes ver cómo funciona este script PowerShell en acción, y para los que quieran algo más sencillo, vamos a sacar una aplicación Windows para que sea mucho más sencillo para todo el mundo. Aquí­ podéis encontrar también, el script versión Alpha en nuestro GitHub, el cual estaremos actualizandolo de una forma constante.

» Telefónica WannaCry File Restorer en GitHub
» Telefónica WannaCry File Restorer en GitHub (versión escritorio)



Recuperación en Sistemas Operativos más antiguos:

Si tienes un equipo infectado con sistema operativo Windows XP, 7 x86, 2003, Vista o Windows Server 2008, es posible que puedas recuperar tus archivos. Esto se debe a que ciertas funciones antiguas de Windows que son utilizadas por el ransomware para cifrar los arcihvos, no eliminan de la memoria los números primos utilizados para la encriptación. Los siguientes scripts intentan recuperar dichos primos buscándolos en el proceso wcry.exe; una vez obtenidos dichos números primos es posible descifrar los archivos:

https://github.com/aguinet/wannakey

https://github.com/gentilkiwi/wanakiwi



Fuente: elladodelmal.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11