Telefónica WannaCry File Restorer Como recuperar informações afetadas pelo WannaCry?

terça-feira, 23 de maio de 2017


Quando ocorre este tipo de situação nas organizações uma boa prática é localizar cópias dos arquivos que em alguma instância possam ter sido afetados pela infecção de um malware ou, neste caso, de um ransonware. Seguem abaixo possíveis fontes de cópias destes arquivos:
  • Os próprios arquivos não criptografados que não foram afetados pelo malware ou para os quais não houve tempo de que os afete. Mostraremos neste artigo um truque que permitirá recuperar parcialmente estas informações;
  • Os back ups e cópias de segurança que tenhamos da nossa informação, geralmente, não conectados à rede;
  • Informação de unidades compartilhadas e unidades na nuvem;
  • Informação da caixa de correio do Office 365 e unidades de dados do Office 365;
  • Informação em discos externos, como pen drives;
  • Documentos temporários de Word, Excel ou Powerpint. Se a infecção ocorre quando temos um documento aberto, é provável que este tenha gerado um arquivo temporário em um sistema. Estas extensões não estão no radar do Wannacry, por isso estes arquivos não serão criptografados. Após a desinfecção, na próxima vez que abrir Word, Excel ou Powerpoint será possível recuperar este arquivo.
Outra recomendação é disponibilizar nos equipamentos pontos de restauração, de modo que se possa voltar a um ponto anterior a execução do sistema. Desta forma, o usuário poderá acessar a um estado anterior em que não havia infecção e aplicar patchs da vulnerabilidade, evitando sofrer danos ou perder dados. A seguir, te mostramos outra forma de recuperação através da ferramenta RECUVA


Trabalhamos continuamente nos últimos dias para entender na maior quantidade de detalhes os efeitos e as fraquezas do ransomware Wannacry. Hoje queremos explicar os detalhes que encontramos para continuar a luta contra este tipo de incidente que ameaça usuários e organizações. Recomenda-se que tais procedimentos nas organizações sejam executados somente por equipes de TI.

Observamos que o ransomware têm duas formas de realizar o processo de criptografia. Em ambas o Wannacry usa uma pasta temporária para mover os arquivos que serão criptografados. Graças a isso, você pode executar um truque para recuperar alguns dos arquivos afetados pelo ransomware.

No primeiro caso, o malware irá identifica se o computador tem uma partição de dados e usa o caminho %userprofile%\appdata\local\temp para mover os arquivos que o Wannacry criptografará. O primeiro arquivo movido é renomeado para 0.WNCRYT, o segundo para 1.WNCRYT e assim por diante. O Wannacry vai criptografar cada um desses arquivos para [nome] .WNCRY e momentos depois, excluir o arquivo correspondente * .WNCRYT. O arquivo armazenado em %userprofile%\appdata\local\temp é um arquivo temporário e não criptografado, apenas movido para este local e renomeado, deste modo você poderá recuperar o seu conteúdo.


Deve-se levar em conta que o Ransomware intercala o processo de criar arquivos temporários e criptografá-los. Por este motivo, não será possível recuperar todos os arquivos.

No segundo caso, o malware identifica que o equipamento onde está sendo executado tem partições de dados, criando na raiz da segunda partição uma pasta denominada $RECYCLE, a qual não devemos confundir com $RECYCLE.BIN. Nesta pasta $RECYCLE realiza o mesmo processo que no caso anterior, em que vai movendo os arquivos para a referida pasta com o objetivo de criptografá-los. Enquanto o arquivo se encontra com a extensão WNCRYT, o arquivo não foi perdido, por não estar criptografado. No instante que Wannacry converte o arquivo WNCRYPT para o arquivo WNCRY, este já está criptografado.

A pergunta é: quando podemos encontrar estes arquivos? Infelizmente, nem sempre. Quando Wannacry criptografa um determinado arquivo, o arquivo temporário correspondente a ele é excluído. Se o usuário tiver desligado ou hibernado o computador no momento exato da execução do malware ou criptografia dos dados, terá interrompido o processo, de modo que todos os arquivos temporários com a extensão WNCRYT que não tenham sido criptografados podem ser recuperados. Esses arquivos temporários são armazenados em% userprofile% \ AppData \ local \ Temp ou US $RECYCLE, dependendo dos casos explicados acima, sendo os mesmos arquivos que a vítima tinha, mas com uma outra extensão.

Se o ransomware concluir o processo de criptografia de todos os arquivos não resta nenhum arquivo temporário, por isso não será possível recuperar os arquivos por este método. Se, por outro lado, o ransomware ainda não terminou o processo de criptografia e os equipamentos foram hibernados (suspensos) ou desligados ou a execução do Wannacry foi interrompida, então será possível seguir com este método de recuperação.

Por exemplo, na imagem acima, vemos vários arquivos temporários que o Wannacry não foi capaz de criptografar. Se abríssemos um desses arquivos, poderíamos ver através do seu cabeçalho que, neste caso, trata-se de um arquivo PDF.


Simplesmente renomeando a extensão do arquivo, poderíamos recuperar e seu conteúdo. Para saber que tipo de arquivo é, recomendamos analisar o cabeçalho do arquivo, já que o nome original do arquivo não está disponível..


Na imagem abaixo, você pode visualizar como abrir o arquivo que foi renomeado. Mude o nome do arquivo 11339.WNCRYT para 11339.WNCRYT.pdf. Quando abrir este arquivo a partir do Windows será aberta a aplicação padrão associada para esta extensão e, como você pode ver na imagem, o arquivo estará intacto.

 
A seguir te mostraremos um script denominado Telefónica WannaCry File Restorer que desenvolvemos no laboratório da Telefônica com o objetivo de poder recuperar e restaurar os arquivos e extensões dos arquivos afetados.


Telefonica Wannacry File Restorer v0.1 Alpha


Aqui você pode encontrar também a versão do script Alpha na nossa GitHub, que está em constante atualização.


Além disso, lembramos que para evitar que este ou qualquer outro ransomware no futuro possa criptografar seus arquivos pessoais, você pode usar a ferramenta que criamos na ElevenPaths chamada Latch Antiransomware. No vídeo abaixo você pode ver como ela funciona:

Instalación y configuración de Latch Antiransomware




Latch ARW: Una herramienta AntiRansomware




WannaCry con Latch AntiRansomware




Nenhum comentário:

Postar um comentário