No mês passado fomos bombardeados com notícias de um ransomware que havia infectado milhares de computadores ao redor do mundo, principalmente os que possuíam versões desatualizadas do sistema operacional dentro da mesma rede.
Mas, isso não significa que o WannaCry era um software de alta qualidade.
Pesquisadores de segurança da Karpersky Lab descobriram recentemente alguns erros de programação no código do WannaCrypt que pode permitir que as vítimas restaurem seus arquivos bloqueados sem pagar nenhuma chave de descriptografia com ferramentas de recuperação gratuita publicamente disponíveis ou mesmo com comandos simples.
Segundo os pesquisadores Anton Ivanov, Fedor Sinitsyn e Orkhan Mamedov, os problemas residem na maneira como o WannaCry exclui arquivos originais após a criptografia. Em geral, o malware primeiro renomeia arquivos para depois alterar sua extensão para “.WNCRYT”, criptografa-os e exclue os arquivos originais.
Recuperar arquivos somente leitura
Uma vez que não é possível para o software malicioso criptografar diretamente ou modificar arquivos de somente leitura, o WannaCry copia os arquivos e cria suas cópias criptografadas.
Enquanto os arquivos originais permanecem intocados, mas recebem um atributo “oculto”, obter os dados originais de volta simplesmente exige que as vítimas restaurem seus atributos normais.
Esse não foi o único erro dentro do código, como em alguns casos, o malware não consegue excluir os arquivos depois de codificá-los adequadamente.
Recuperando arquivos da unidade do sistema (Unidade C)
Os pesquisadores disseram que os arquivos armazenados nas pastas importantes, como Desktop ou Documentos, não podem ser recuperados sem a chave de descriptografia porque o WannaCry foi projetado para substituir arquivos originais com dados aleatórios antes da remoção.
No entanto, os pesquisadores perceberam que outros arquivos armazenados fora das pastas importantes na unidade do sistema poderiam ser restaurados a partir da pasta temporária usando um software de recuperação de dados.
… o arquivo original será movido para %TEMP%/%d.WNCRYPT (onde %d denota um valor numérico). Esses arquivos contêm os dados originais e não são substituídos, disseram os pesquisadores
Recuperando arquivos de outras partições
Os pesquisadores também descobriram que, para outras partições, o WannaCry cria uma pasta escondida ‘$RECYCLE’ e move os arquivos originais para este diretório após a criptografia. Você pode recuperar esses arquivos apenas removendo a pasta ‘$RECYCLE’.
Além disso, devido a “erros de sincronização” no código, em muitos casos, os arquivos originais permanecem no mesmo diretório, possibilitando que as vítimas restaurem arquivos apagados de forma insegura usando o software de dados disponível.
Problemas de programação: esperança para as vítimas
Esses erros no código do WannaCry oferecem esperança para muitas vítimas.
A recuperação de arquivos infectados pelo o WannaCry foi possibilitada pela primeira vez pelos pesquisadores franceses Adrien Guinet e Benjamin Delpy, que criaram uma ferramenta gratuita de descodificação que funciona no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Server 2008.
Enquanto a polícia e empresas de segurança cibernética continuam a procurar respostas em torno das origens do WannaCry, a empresa de inteligência Web Dark Flashpoint indicou recentemente que os criadores podem ser chineses, com base em sua análise linguística.