Restaurador de Archivos WannaCry Ransomware

Esta herramienta intenta restaurar los posibles archivos cifrados por WannaCry, en caso de que el cifrado NO se haya terminado correctamente. Junto a un conjunto de vulnerabilidades encontradas en el código.

 

Soluciones de Archivos WannaCry Ransomware


De acuerdo a la comunidad y comentarios que circulan en la red existen lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos donde podrías encontrar tus archivos.

 

Las extensiones no cifradas de documentos ofimáticos

Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:

•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx

Excluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:

  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk – Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps – Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf – Portable Document Format.
  • .odt – Open Document Text.
  • .ods – Open Document Spreadsheet.
  • .odp – Open Document Presentation.
  • .odg – Open Document Graphic.
  • .sxw – Open Office Binario.
  • .rtf – Rich Text Format.
  • .tmp – PowerPoint Temporary PPT.
  • .xar – Excel Temporary XLS.
  • .asd – Word Temporary DOC.

Además, si eres un usuario avanzado de Excel, recuerda que existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros VBA o plantillas, pero otros son formatos XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de EXCEL a ver qué ficheros con estas extensiones tienes guardados.

 

Papeleras de reciclaje de carpetas sincronizadas en la nube

Papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada. Es posible que en local este el cifrado pero en la nube este la versión sin cifrar.

 

Ficheros temporales de WannaCry

Las muestras del ransomware WannaCry que se han analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos – por las extensiones – que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.

En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en “WNCRYT son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.

En el segundo casoWannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.

 

Telefónica WannaCry File Restorer

Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry NO ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque se ha apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.

La solución indefinida de Ransomware WannaCry, esta disponible y versionada ya en GitHub, resulta ser una versión Beta, aunque con resultados positivos, podría ser el camino de piedras amarillas a una solución definitiva para recuperar nuestros datos.

Cabe destacar que esta solución, hasta el momento de su publicación, todavía NO ha sido respaldada o validada por ninguna entidad Oficial, Ni siquiera la “Telefónica” que aparece como vinculo asociado en GitHub.

De acuerdo al vídeo, muestra el proceso y los archivos ya sin Encriptación.

Link del repositorio github.com Telefonica-WannaCry-FileRestorer

Link según el repositorio en GitHub, que expone la solución ElevenPaths.com

 

Solucion Aguinet

Por si fuera poco, existe otro software que sólo ha sido probado y conocido que funcionar bajo Windows XP. La condiciones son que su computadora NO debe haber sido reiniciado después de ser infectado.

Por favor, tenga en cuenta que necesita algo de suerte para que esto funcione (De acuerdo al articulo en GitHub), y por lo tanto, puede que no funcione en todos los casos. Esto es debido a que la Clave de encriptación se encuentra todavía disponible en memoria.

Este software permite recuperar los números primos de la clave privada RSA que Wanacry utiliza.

Lo hace mediante la búsqueda de ellos en el Ejecutable wcry.exe. Este es el proceso que genera la clave privada RSA. El problema principal es que CryptDestroyKey y CryptReleaseContext no borran los números primos de la memoria antes de liberar la memoria asociada.

Esto en esencia NO es realmente un error de los autores de ransomware, ya que utilizan correctamente la API de Windows Crypto. De hecho, por lo que se ha testeado, bajo Windows 10, CryptReleaseContext hace la limpieza de la memoria (y por lo que esta técnica de recuperación no funcionará pasado mucho tiempo). Puede funcionar bajo Windows XP porque, en esta versión, CryptReleaseContext no hace la limpieza. Además, MSDN ya ha indicado esto, para esta función: “Después de que se llama a esta función, el identificador CSP liberado ya no es válido, esta función no destruye contenedores de claves o pares de claves”. Por lo tanto, parece que no hay formas limpias y multiplataforma bajo Windows para limpiar esta memoria.

En resumen, si tienes suerte (es decir, la memoria asociada no se ha reasignado y borrado), estos números primos podrían estar todavía en la memoria, y con el programa ya disponible en el repositorio de GitHub, podrías recuperar tus archivos si actúas rápido.

Link del repositorio con la solución de Aguinet 

 

Suerte y por favor Distribuye estas soluciones

Estudiante de la vida, buscando aprender…
Tu solo pregunta, si no tengo la respuesta… ya NO preguntaras solo…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *