WannaCry Ransomware: trovato un errore di codifica che permette di ottenere i vostri files indietro
E’ stato scoperto un errore che permette di riottenere i propri files, senza pagare il riscatto. Continua a leggere per saperne di più.
Il mese scorso, il mondo informatico è stato scosso dalla ransomware WannaCry che al suo apice, aveva colpito più di un quarto di milione di PC in tutto il mondo. Tuttavia, ciò non significa che si trattava di una di malware di alta qualità con la ricerca di malware che esce con le relazioni che è possibile decifrare i file senza bisogno di una chiave di decodifica a causa di difetti nel processo di codifica di WannaCry.
La ricerca paziente paga
Kaspersky Lab , è giunto alle conclusioni che il ransomware conteneva errori nel suo codice che permetterebbero ad un utente di decifrare / ripristinare i propri file con gli strumenti a disposizione del pubblico o anche comandi di base. Anton Ivanov, analista senior di malware di Kaspersky Lab, insieme con i colleghi Fedor Sinitsyn e Orkhan Mamedov, dopo una ricerca in profondità il malware, hanno dettagliato 3 errori critici fatte dagli sviluppatori del malware, che può consentire a un amministratore di sistema per ripristinare questi file.
Pertanto i file originali rimangono intatti i file solo riceve un attributo “nascosto” e quindi ripristinare i file richiede solo l’utente per ripristinare le caratteristiche originali. Questo non è stato l’unico errore tuttavia, in alcuni casi, il malware ancora non è riuscito a cancellare i file originali dopo la crittografia.
Recupero da Drive System
I ricercatori hanno precisato che il recupero di file che risiedevano nelle posizioni importanti come documenti o nelle cartelle di desktop non sarà possibile senza la chiave di decrittazione dal momento che il malware è stato codificato per sovrascrivere i file originali con dati casuali prima di essere eliminati. Così, negando qualsiasi tipo di recupero. Tuttavia, i dati da file che risiedevano in altri luoghi, potrebbero essere ripristinati dalla cartella temporanea per mezzo di un software di recupero dati.
“… il file originale verrà spostato in %TEMP%\%d.WNCRYT (dove %d denota un valore numerico). Questi file contengono i dati originali e non vengono sovrascritti “, hanno detto i ricercatori.
Gli stessi ricercatori hanno anche scoperto che il malware avrebbe creato una cartella nascosta ‘$RECYCLE’ dove sarebbero trasferiti tutti i file originali dopo la cifratura di loro in tal modo, tutto quello che dovete fare è non-nascondere il ‘$RECYCLE’ e si ottengono indietro tutti i files. In alcuni casi, a causa di “errori di sincronizzazione” i file originali, a volte sono stati messi anche nelle loro directory originali permettendo così agli utenti di recuperare i propri file tramite semplice software di recupero dati.
La speranza per le vittime WannaCry
Questi errori vengono come un raggio di speranza per le vittime del malware che sono stati in grado di recuperare i propri file.
“Se sono stati infettati con WannaCry ransomware c’è una buona possibilità che si sarà in grado di ripristinare un sacco di file sul computer interessato. La qualità del codice è molto bassa. Per ripristinare i file, è possibile utilizzare le utilità gratuite disponibili per il recupero dei dati.”
Ricercatori francesi Adrien GUINET e Benjamin Delpy fatto il recupero dei file possibili per la creazione di un tool gratuito WannaCry decrittazione che gira su Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Server 2008. Nonostante ciò, il mondo va ancora a caccia per acciuffare gli autori di questo ransomware.
