Errori in WannaCry che consentono di ripristinare i file dopo l’infezione

Contenuti

Talvolta, gli sviluppatori di programmi ransomware commettono degli errori, a livello di codice. Errori del genere possono consentire alle vittime di ottenere nuovamente l’accesso ai propri file originali, dopo l’infezione causata dal ransomware. Nel presente articolo verranno descritti, in breve, vari errori commessi dai virus writer che hanno sviluppato il famigerato ransomware WannaCry.

Errori nella logica di rimozione dei file

Quando WannaCry codifica i file delle proprie vittime, legge dal file originale, ne cifra il contenuto, e salva poi quest’ultimo in un file con estensione “.WNCRYT”. Una volta completato il processo di codifica, il malware trasforma l’estensione “.WNCRYT” in “.WNCRY”, e provvede poi ad eliminare il file originale. La logica di rimozione adottata può tuttavia variare a seconda della posizione e delle specifiche proprietà dei file appartenenti alla vittima.

Quando i file si trovano sul drive di sistema:

  • Se il file risulta ubicato in una cartella “importante” (dal punto di vista degli autori del malware – ad esempio Desktop e Documenti), il file originale verrà sovrascritto, prima dell’eliminazione, con dati casuali. In questo caso, purtroppo, non è possibile ripristinare in alcun modo il contenuto originale del file.
  • Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

  • Se, invece, il file è stato salvato, in precedenza, su cartelle non ritenute “importanti”, il file originale verrà allora trasferito su %TEMP%\%d.WNCRYT (dove %d indica un valore numerico). Questi file contengono i dati originali e non vengono sovrascritti; essi vengono semplicemente rimossi dal disco. Ciò significa che esiste un’elevata probabilità di poter ripristinare gli stessi utilizzando un apposito software per il recupero dei dati.

Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

File originali rinominati, che possono essere recuperati da %TEMP%

Quando i file si trovano su altri drive (non di sistema):

  • Il ransomware crea la cartella “$RECYCLE” ed imposta gli attributi “hidden+system” per tale folder. Questo rende la cartella invisibile in Esplora File di Windows, nel caso in cui la configurazione dello stesso sia quella di default. Il malware, in pratica, intende spostare i file originali su tale directory, dopo la cifratura degli stessi.
  • Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

    La procedura che determina la directory temporanea adibita allo storage dei file originali prima della rimozione degli stessi

  • Tuttavia, a causa di errori di sincronizzazione nel codice del ransomware, in molti casi i file originali rimangono all’interno della stessa directory, e non vengono quindi spostati su $RECYCLE.

  • I file originali vengono eliminati in forma non sicura. Tale elemento rende possibile il ripristino dei file cancellati, utilizzando un apposito software per il recupero dei dati.

    Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

    File originali che possono essere recuperati da un drive non di sistema

    Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

    La procedura che costruisce il percorso temporaneo per un file originale

    Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

    La porzione di codice che richiama le procedure sopra menzionate

    Errore nell’elaborazione dei file di sola lettura

    Analizzando WannaCry abbiamo ugualmente scoperto che questo ransomware presenta un bug per quel che riguarda l’elaborazione dei file di sola lettura. Se sulla macchina infetta risultano presenti file del genere, il ransomware non li codificherà affatto. Esso creerà soltanto una copia crittografata di ogni file originale, mentre gli stessi file originali ricevono, da parte loro, soltanto l’attributo “hidden”. Quando questo avviene, è semplice individuare tali file e ripristinare i loro normali attributi.

    Errori in WannaCry che consentono di ripristinare i file dopo l'infezione

    I file originali di sola lettura non vengono crittografati e rimangono nella stessa location

    Conclusioni

    L’approfondita analisi da noi effettuata riguardo al ransomware in questione ha evidenziato in maniera netta come gli sviluppatori di WannaCry abbiano commesso numerosi errori; inoltre, come avevamo già sottolineato, la qualità del codice è davvero molto bassa.

    Se il vostro computer è stato infettato da WannaCry, avete quindi buone possibilità di recuperare molti dei file presenti sulla macchina colpita dal ransomware. Per ripristinare i file, potete far uso delle utility gratuite disponibili, adibite al recupero dei file. Consigliamo a società ed organizzazioni di condividere questo articolo con i loro amministratori di sistema, visto che questi ultimi possono poi avvalersi di tali utility per il recupero dei file sulle macchine compromesse dal ransomware che si trovano all’interno della rete informatica da essi gestita.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *