Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.
Si has sido afectado por el ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lógicamente, lo ideal sería que tuvieras un backup desconectado o en la nube al que pudieras recurrir, así como que los tuvieras protegidos por una solución como Latch Antiransomware. Si no es así, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.
Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.
Las extensiones no cifradas de documentos ofimáticos
Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
Papeleras de reciclaje de carpetas sincronizadas en la nube
Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada
Ficheros temporales de WannaCry
Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.
En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.
Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.
En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.
Telefónica WannaCry File Restorer
Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.
A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.
En el siguiente vídeo puedes ver cómo funciona este script PowerShell en acción, y para los que quieran algo más sencillo, vamos a sacar una aplicación Windows para que sea mucho más sencillo para todo el mundo.
Saludos Malignos!
Figura 1: Telefónica WannaCry File Restorer |
Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.
Las extensiones no cifradas de documentos ofimáticos
Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docxExcluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:
- .doc – Legacy Word document.
- .dot – Legacy Word templates.
- .wbk - Legacy Word document backup.
- .xls – Legacy Excel worksheets.
- .xlt – Legacy Excel templates.
- .xlm – Legacy Excel macro.
- .ppt – Legacy PowerPoint presentation.
- .pps - Legacy PowerPoint presentation.
- .pot – Legacy PowerPoint template.
- .pps – Legacy PowerPoint slideshow.
- .pdf - Portable Document Format.
- .odt - Open Document Text.
- .ods - Open Document Spreadsheet.
- .odp - Open Document Presentation.
- .odg - Open Document Graphic.
- .sxw - Open Office Binario.
- .rtf - Rich Text Format.
- .tmp - PowerPoint Temporary PPT.
- .xar - Excel Temporary XLS.
- .asd - Word Temporary DOC.
Papeleras de reciclaje de carpetas sincronizadas en la nube
Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada
Ficheros temporales de WannaCry
Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.
Figura 2: Carpeta con ficheros temporales de WannaCry |
En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.
Figura 3: El fichero WNCRYPT no está cifrado |
Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.
Figura 4: El fichero PDF está intacto |
En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.
Telefónica WannaCry File Restorer
Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.
Figura 5: Magic Numbers para identificar formato de ficheros |
A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.
Figura 6: Telefonica WannaCry File Restorer |
En el siguiente vídeo puedes ver cómo funciona este script PowerShell en acción, y para los que quieran algo más sencillo, vamos a sacar una aplicación Windows para que sea mucho más sencillo para todo el mundo.
Figura 7: Vídeo de funcionamiento de Telefonica WannaCry File Restorer
Saludos Malignos!
26 comentarios:
Muchas gracias Chema
Gracias chema por esta aportación después del chaparrón,llevo años consumiendo articulos de tu blog y siempre he admirado tu gran capacidad de trabajo, no se puede juzgar a alguién por un comentario sin conocer su trayectoria. Creo que el ataque gratuito del que has sido objeto esta fuera de lugar por lo que te muestro mi apoyo y te animo a que nos sigas iluminando con tu brillantez. Saludos Berna
Gracias Chema por dedicar tiempo a tu blog y compartir toda esa información
se agradece Chema siempre públicas artículos interesantes. sonre todo en este caso que has sido víctima e imagino q están trabajando incansablemente para dar solución y ayudar a todos los que también fueron atacados por este rasonware. la forma como compartes tus conocimientos es excelente y entendible. Gracias.
Se agradece el trabajo y el artículo O:)
Gracias Chema!!! Eres un crack.
Hola.
Muy bueno!!!
Probaron alguna opción de recuperar estos archivos cuando ya estan borrados (y/o con la carpeta borrada)?
Saludos, Ariel
Gracias por la ayuda.
Saludos.
Messi=Dios=Chema Alonso
Excelente. Gracias.
Buenas tardes. Muchas gracias por la ayuda.
Una duda, dado que los datos y passwords están en local entiendo que solo puedes descifrar los ficheros de ti propia máquina, no puedes copiar todo lo que quieras recuperar en un solo equipo y descifrarlos ahí. De igual manera, si quisieras descifrar lo cifrado en un recurso de red, tendrías que averiguar quien y desde donde lo ha cifrado, para deshacerlo desde el mismo sitio. ¿Correcto?
Gracias Chema. Que buen trabajo, que Jehová lo siga bendiciendo y llenando de infinita sabiduría.
Gracias por los datos Chema, por fortuna, no me tocó liar con todo eso. En cuanto al estar en contacto con los "Ficheros temporales de WannaCry", en el mismo punto que tocas, que el malware cambia la extensión para cada archivo, antes de encriptarlo, sería bueno usar una herramienta que identifique de que manera está compuesto cada archivo. Lo ideal sería usar la herramienta TrID "File identifier", para Windows, Linux y DOS.
Nuevamente, gracias por la información.
Gracias por el aporte chema
Muchas gracias por la aportación, es de gran ayuda.
Saludos.
Gran aporte! Alguna solución de este tipo para el ransomware cerber2?
Hombre, Chema, los ficheros cifrados no los recupera. El titular es sensacionalista a más no poder, no hace falta jugar con las ilusiones de la gente que ha perdido sus archivos. Podías haber puesto un titular mejor.
Por otra parte, he estado haciendo pruebas y en una máquina promedio necesitas apagar la máquina durante los primeros 2-3 segundos para que no cifre una cantidad importante de archivos, y tras 10 segundos probablemente todos los documentos de tamaño normal ya han sido cifrados.
En mi opinión este script de Powershell no tiene utilidad excepto en muy pocos casos.
Creo que se os ha colado decir que NO cifra PDF. Sí que los cifra. Una muestra es la imagen que adjuntáis del pdf aún sin cifrar pero en la carpeta Temp preparado para ser cifrado. En las muestras que he podido analizar de Wannacry ha cifrado todos los pdf.
Buen trabajo Chema!!!
¿Cómo que los .doc, .xls, .pps y .pdf no los encripta? Pues yo tengo unos cuantos, parece que ni haya mirado un ordenador atacado.
Gracias? Gran aporte?
La gente leyó realmente el artículo o sólo el titular? Es un engaño,NO sirve para recuperar los archivos, sólo para que no siga infectando, pero NO recupera los archivos infectados. Aplicad el parche y dejaros de chorradas.
Gracias por el aporte... Siempre al día gracias a tu blog.
WannaCry Ransomware Decryption Tool Released
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
Me parece genial el analisis y el esfuerzo efectuado para conocer mekor como funciona el virus pero deamis claros... el nombre de la herramienta es,sensacionalista intencionadamente. Es una herramienta practicamente inutil en casi todos los casos. Hay que leer tb los artículos para luego ver q el interior no corresponde con el interfaz, como pasa con las noticias sobre este virus o con el nombre de la herramienta. Saludos
Hay diferentes variantes del ransomware, quizás la que afectó a Telefónica no cifra tantos tipos de archivos. El análisis que ha hecho Microsoft aporta más datos:
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
Otra buena razón para usar OpenOffice o AbiWord y sus formatos libres
Buenos días Chema Alonso, primero gracias por el conocimiento que comparte, el año pasado mis archivos fueron secuestrados con el Ransomware Keypass , he buscado pero aún no han publicado una herramienta para desencriptar los archivos afectados, quisiera saber si puede ayudarme, necesito un solo archivo en Word, des afortunadamente no tenia respaldo y este archivo es de un libro que estaba escribiendo,le agradecería me contactara si tiene una solución, mi email es aleja.ad78@gmail.com, gracias por la atención.
Publicar un comentario