En WINDOWS 10 no se pueden recuperar los datos
http://www.elladodelmal.com/2017/05/como-recuperar-ficheros-afectados-por.htmlSi has sido afectado por el
ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lógicamente, lo ideal sería que tuvieras un
backup desconectado o en la nube al que pudieras recurrir, así como que los tuvieras protegidos por una solución como
Latch Antiransomware. Si no es así, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.
Figura 1: Telefónica WannaCry File Restorer
Además de los lugares donde se quedan copias automática, como correos con adjuntos,
Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.
Las extensiones no cifradas de documentos ofimáticos Una de las cosas que más llama la atención en
WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docxExcluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra
WannaCry son:
- .doc – Legacy Word document.
- .dot – Legacy Word templates.
- .wbk - Legacy Word document backup.
- .xls – Legacy Excel worksheets.
- .xlt – Legacy Excel templates.
- .xlm – Legacy Excel macro.
- .ppt – Legacy PowerPoint presentation.
- .pps - Legacy PowerPoint presentation.
- .pot – Legacy PowerPoint template.
- .pps – Legacy PowerPoint slideshow.
- .pdf - Portable Document Format.
- .odt - Open Document Text.
- .ods - Open Document Spreadsheet.
- .odp - Open Document Presentation.
- .odg - Open Document Graphic.
- .sxw - Open Office Binario.
- .rtf - Rich Text Format.
- .tmp - PowerPoint Temporary PPT.
- .xar - Excel Temporary XLS.
- .asd - Word Temporary DOC.
Además, si eres un usuario avanzado de
Excel, recuerda que
existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros
VBA o plantillas, pero otros son formatos
XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de
EXCEL a ver qué ficheros con estas extensiones tienes guardados.
Papeleras de reciclaje de carpetas sincronizadas en la nube Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de
OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada
Ficheros temporales de WannaCry Las muestras del
ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el
malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el
ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.
Figura 2: Carpeta con ficheros temporales de WannaCry
En el primer caso, el
malware identifica que el equipo tiene una partición de datos y utiliza la ruta
%userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como
0.WNCRYT, el segundo como
1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "
WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo,
DOCX, que
WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente,
Wannacry irá cifrando cada uno de esos archivos a
[nombre].WNCRY e instantes después, elimina el fichero
*.WNCRYT correspondiente.
Figura 3: El fichero WNCRYPT no está cifrado
Como ya se ha dicho, el fichero almacenado en
%userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el
ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.
Figura 4: El fichero PDF está intacto
En el segundo caso,
WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada
$RECYCLE, que no se debe confundir con
$RECYCLE.BIN. En esta carpeta
$RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión
WNCRYT no se ha perdido, por no estar cifrado. En el instante que
WannaCry cifra el archivo
WNCRYT y lo convierte en el archivo
WNCRY ya está cifrado.
Telefónica WannaCry File Restorer Estos archivos temporales con extensión
WNCRYPT solo se pueden recuperar si el
ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si
WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de
WannaCry con algún
antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los
Magic Numbers y renombrar la extensión.
A continuación, os mostramos un
script llamado
Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de
ElevenPaths, en
Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.
En el siguiente vídeo puedes ver cómo funciona este
script PowerShell en acción, y para los que quieran algo más sencillo, vamos a sacar una aplicación
Windows para que sea mucho más sencillo para todo el mundo.
