jueves, mayo 18, 2017

Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.

Si has sido afectado por el ransomware WannaCry y te ha cifrado documentos existen formas con las que puedes conseguir otra vez tus documentos sin cifrar. Lógicamente, lo ideal sería que tuvieras un backup desconectado o en la nube al que pudieras recurrir, así como que los tuvieras protegidos por una solución como Latch Antiransomware. Si no es así, antes de seguir trabajando con tu equipo o formatear el disco, hay sitios en los que puedes buscar los ficheros.

Figura 1: Telefónica WannaCry File Restorer

Además de los lugares donde se quedan copias automática, como correos con adjuntos, Shadow Copies de Windows, pendrives en los que hubieras trabajado, recuperadores de ficheros eliminados al estilo Recuva o similares (no buscando solo los que hubiera borrado el malware sino también las copias borradas previamente no afectadas por el malware), existen algunos lugares menos conocidos que puedes mirar.

Las extensiones no cifradas de documentos ofimáticos

Una de las cosas que más llama la atención en WannaCry es la lista de extensiones que cifra. Bastante singular, como se puede ver:
•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx
Excluidas están una cantidad buena de ficheros que tal vez tengas en tu equipo y deberías buscar, porque tal vez tengas tu documento guardado en alguno de esos formatos. Los más singulares que no cifra WannaCry son:
  • .doc – Legacy Word document.
  • .dot – Legacy Word templates.
  • .wbk - Legacy Word document backup.
  • .xls – Legacy Excel worksheets.
  • .xlt – Legacy Excel templates.
  • .xlm – Legacy Excel macro.
  • .ppt – Legacy PowerPoint presentation.
  • .pps - Legacy PowerPoint presentation.
  • .pot – Legacy PowerPoint template.
  • .pps – Legacy PowerPoint slideshow.
  • .pdf - Portable Document Format.
  • .odt - Open Document Text.
  • .ods - Open Document Spreadsheet.
  • .odp - Open Document Presentation.
  • .odg - Open Document Graphic.
  • .sxw - Open Office Binario.
  • .rtf - Rich Text Format.
  • .tmp - PowerPoint Temporary PPT.
  • .xar - Excel Temporary XLS.
  • .asd - Word Temporary DOC.
Además, si eres un usuario avanzado de Excel, recuerda que existen los formatos XLA, XLB, XLC, XLD, XLK,XLL, XLM, XLSB, XLSHTML, XLT, XLV y XLW. Algunos son ficheros especiales para guardar macros VBA o plantillas, pero otros son formatos XLS codificados en otros formatos. Te recomiendo que busques en tus carpetas de EXCEL a ver qué ficheros con estas extensiones tienes guardados.

Papeleras de reciclaje de carpetas sincronizadas en la nube

Es un comportamiento bastante peculiar, pero durante el fin de semana un compañero notó que los archivos de una carpeta cifrada estaban todos en la papelera de reciclaje de OneDrive. No es de extrañar. Cuando se borra un fichero en local que está cifrado, se elimina también en la nube, y allí muchos servicios tienen la papelera de reciclaje activada

Ficheros temporales de WannaCry

Las muestras del ransomware WannaCry que hemos analizado tienen dos formas identificadas de llevar a cabo el proceso de cifrado. En ambas formas utiliza una carpeta temporal para mover los archivos elegidos - por las extensiones - que el malware va a cifrar. Gracias a esto, se puede usar un pequeño truco para poder recuperar parte de los archivos afectados por el ransomware, usando sus archivos temporales. Hay un par de casos distintos, y tienes que ver cuál es el tuyo.

Figura 2: Carpeta con ficheros temporales de WannaCry

En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en "WNCRYT" son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

Figura 3: El fichero WNCRYPT no está cifrado

Como ya se ha dicho, el fichero almacenado en %userprofile%\appdata\local\temp es un archivo temporal y no está cifrado, solo se ha movido a esa ubicación y renombrado, por lo que se puede recuperar su contenido. Hay que tener en cuenta, que el ransomware va intercalando mover archivos a la carpeta temporal y el cifrado de éstos. Por esta razón, es probable que no se pueda recuperar todos los archivos, pero sí un alto porcentaje de ellos.

Figura 4: El fichero PDF está intacto

En el segundo caso, WannaCry identifica que un equipo dónde se está ejecutando tiene dos particiones de datos, creando en la raíz de la segunda partición una carpeta denominada $RECYCLE, que no se debe confundir con $RECYCLE.BIN. En esta carpeta $RECYCLE realiza el mismo proceso que en el caso anterior, en el que se van moviendo los archivos a dicha carpeta con el objeto de cifrarlos. Mientras el archivo se encuentre con la extensión WNCRYT no se ha perdido, por no estar cifrado. En el instante que WannaCry cifra el archivo WNCRYT y lo convierte en el archivo WNCRY ya está cifrado.

Telefónica WannaCry File Restorer

Estos archivos temporales con extensión WNCRYPT solo se pueden recuperar si el ransomware no ha terminado el proceso de cifrado de todos los archivos de ese lote. Es decir, si WannaCry no ha terminado el proceso de cifrado por un error, porque el equipo se ha hibernado o porque apagado o se ha detenido el proceso de WannaCry con algún antimalware en ese momento. Para poder saber qué tipo de archivo es hay que ver los Magic Numbers y renombrar la extensión.

Figura 5: Magic Numbers para identificar formato de ficheros

A continuación, os mostramos un script llamado Telefónica WannaCry File Restorer que hemos desarrollado en el laboratorio de ElevenPaths, en Telefónica, con el objetivo de poder recuperar y restaurar los archivos y extensiones de los ficheros afectados.

Figura 6: Telefonica WannaCry File Restorer

En el siguiente vídeo puedes ver cómo funciona este script PowerShell en acción, y para los que quieran algo más sencillo, vamos a sacar una aplicación Windows para que sea mucho más sencillo para todo el mundo.

Figura 7: Vídeo de funcionamiento de Telefonica WannaCry File Restorer

Saludos Malignos!

24 comentarios:

Javier Gonzalez dijo...

Muchas gracias Chema

Berna Muñoz dijo...

Gracias chema por esta aportación después del chaparrón,llevo años consumiendo articulos de tu blog y siempre he admirado tu gran capacidad de trabajo, no se puede juzgar a alguién por un comentario sin conocer su trayectoria. Creo que el ataque gratuito del que has sido objeto esta fuera de lugar por lo que te muestro mi apoyo y te animo a que nos sigas iluminando con tu brillantez. Saludos Berna

DaViD V. dijo...

Gracias Chema por dedicar tiempo a tu blog y compartir toda esa información

Omar N. dijo...

se agradece Chema siempre públicas artículos interesantes. sonre todo en este caso que has sido víctima e imagino q están trabajando incansablemente para dar solución y ayudar a todos los que también fueron atacados por este rasonware. la forma como compartes tus conocimientos es excelente y entendible. Gracias.

anso dijo...

Se agradece el trabajo y el artículo O:)

Juan Carlos Ruiz dijo...

Gracias Chema!!! Eres un crack.

ariel dijo...

Hola.

Muy bueno!!!

Probaron alguna opción de recuperar estos archivos cuando ya estan borrados (y/o con la carpeta borrada)?

Saludos, Ariel

xerito dijo...

Gracias por la ayuda.

Saludos.

Manuel Rodriguez Márquez dijo...

Messi=Dios=Chema Alonso

juan.zavala.zamudio dijo...

Excelente. Gracias.

ima dijo...

Buenas tardes. Muchas gracias por la ayuda.
Una duda, dado que los datos y passwords están en local entiendo que solo puedes descifrar los ficheros de ti propia máquina, no puedes copiar todo lo que quieras recuperar en un solo equipo y descifrarlos ahí. De igual manera, si quisieras descifrar lo cifrado en un recurso de red, tendrías que averiguar quien y desde donde lo ha cifrado, para deshacerlo desde el mismo sitio. ¿Correcto?

Julián dijo...

Gracias Chema. Que buen trabajo, que Jehová lo siga bendiciendo y llenando de infinita sabiduría.

HiiARA dijo...

Gracias por los datos Chema, por fortuna, no me tocó liar con todo eso. En cuanto al estar en contacto con los "Ficheros temporales de WannaCry", en el mismo punto que tocas, que el malware cambia la extensión para cada archivo, antes de encriptarlo, sería bueno usar una herramienta que identifique de que manera está compuesto cada archivo. Lo ideal sería usar la herramienta TrID "File identifier", para Windows, Linux y DOS.

Nuevamente, gracias por la información.

Wilder Villatoro dijo...

Gracias por el aporte chema

Ariel Rebollo dijo...

Muchas gracias por la aportación, es de gran ayuda.

Saludos.

Acid-burn dijo...

Gran aporte! Alguna solución de este tipo para el ransomware cerber2?

Antonio de la Iglesia dijo...

Hombre, Chema, los ficheros cifrados no los recupera. El titular es sensacionalista a más no poder, no hace falta jugar con las ilusiones de la gente que ha perdido sus archivos. Podías haber puesto un titular mejor.

Por otra parte, he estado haciendo pruebas y en una máquina promedio necesitas apagar la máquina durante los primeros 2-3 segundos para que no cifre una cantidad importante de archivos, y tras 10 segundos probablemente todos los documentos de tamaño normal ya han sido cifrados.

En mi opinión este script de Powershell no tiene utilidad excepto en muy pocos casos.

Mastic Cover dijo...

Creo que se os ha colado decir que NO cifra PDF. Sí que los cifra. Una muestra es la imagen que adjuntáis del pdf aún sin cifrar pero en la carpeta Temp preparado para ser cifrado. En las muestras que he podido analizar de Wannacry ha cifrado todos los pdf.

Buen trabajo Chema!!!

Fernando López dijo...

¿Cómo que los .doc, .xls, .pps y .pdf no los encripta? Pues yo tengo unos cuantos, parece que ni haya mirado un ordenador atacado.

DeadByHunger dijo...

Gracias? Gran aporte?
La gente leyó realmente el artículo o sólo el titular? Es un engaño,NO sirve para recuperar los archivos, sólo para que no siga infectando, pero NO recupera los archivos infectados. Aplicad el parche y dejaros de chorradas.

monti dijo...

Gracias por el aporte... Siempre al día gracias a tu blog.

Efi Alttes dijo...

WannaCry Ransomware Decryption Tool Released
http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html

Polma dijo...

Me parece genial el analisis y el esfuerzo efectuado para conocer mekor como funciona el virus pero deamis claros... el nombre de la herramienta es,sensacionalista intencionadamente. Es una herramienta practicamente inutil en casi todos los casos. Hay que leer tb los artículos para luego ver q el interior no corresponde con el interfaz, como pasa con las noticias sobre este virus o con el nombre de la herramienta. Saludos

Jcomin dijo...

Hay diferentes variantes del ransomware, quizás la que afectó a Telefónica no cifra tantos tipos de archivos. El análisis que ha hecho Microsoft aporta más datos:
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares