Lo scorso mese WannaCry colpì oltre 300.000 PC nel mondo in meno di 72 ore, utilizzando le sue capacità di auto-diffusione per infettare PC Windows, in particolare quelli che utilizzano versioni vulnerabili del sistema operativo, all’interno della stessa rete.
Ma questo non significa che WannaCry sia un ransomware di qualità.
I ricercatori in sicurezza hanno scoperto diversi errori nel codice del malware, i quali permetterebbero alla vittima di ripristinare i file bloccati senza pagare alcuna chiave di decodifica.
Dopo un’analisi approfondita del codice di WannaCry, Kaspersky Lab ha scoperto quanto il ransomware sia pieno di errori, i quali consentirebbero alle vittime di ripristinare i propri file con strumenti di recupero gratuiti e pubblicamente disponibili, o anche con semplici comandi.
Anton Ivanov, senior malware analyst presso Kaspersky Lab, insieme ai colleghi Fedor Sinitsyn e Orkhan Mamedov, ha dettagliato tre errori critici fatti dagli sviluppatori di WannaCry che potrebbero permettere a un sistemista di ripristinare i file potenzialmente persi.
Secondo i ricercatori, le problematiche risiedono nel modo in cui WannaCry elimina i file originali dopo la crittografia. In genere, il malware rinomina i file per modificarne l’estensione in “.WNCRYT”, li crittografa ed infine elimina i file originali.
Recupero file di sola lettura
Poiché non è affatto possibile che un software dannoso crittografi o modifichi direttamente file di sola lettura, WannaCry copia i file e crea le proprie copie crittografate. I file originali rimangono così’ intatti.
Questo non è l’unico errore all’interno del codice di WannaCry. Ad esempio, in alcuni casi, il malware non riusciva nemmeno ad eliminare i file dopo averli crittografati correttamente.
Ripristino di file dall’unità di sistema (ossia unità C)
I ricercatori hanno affermato che i file memorizzati nelle cartelle importanti, come la cartella Desktop o Documenti, non possono essere recuperati senza la chiave di decrittografia perché WannaCry è stato progettato per sovrascrivere i file originali con dati casuali prima della rimozione.
Tuttavia, i ricercatori hanno riscontrato la possibilità, in merito ad alcuni file memorizzati al di fuori delle directory più importanti nell’unità di sistema, di un ripristino degli stessi dalla cartella temporanea utilizzando un software di recupero dati.
“… il file originale verrà spostato in% TEMP% \% d.WNCRYT (dove% d indica un valore numerico). Questi file contengono i dati originali e non vengono sovrascritti “, affermano i ricercatori.
I ricercatori hanno anche scoperto che per le unità non di sistema, WannaCry crea una cartella nascosta ‘$ RECYCLE’ e sposta i file originali in questa directory dopo la crittografia. È possibile recuperare tali file semplicemente cercando la cartella “$ RECYCLE”.
Inoltre, a causa di “errori di sincronizzazione” nel codice di WannaCry, in molti casi i file originali rimangono nella stessa directory, consentendo alle vittime di ripristinare i file cancellati in modo insolito utilizzando il software di recupero dati disponibile.
Programmare gli errori: la nuova speranza per le vittime di WannaCry
Questi errori di programmazione nel codice di WannaCry offrono speranza a molte vittime.
“Se sei stato infettato da WannaCry c’è una buona possibilità di ripristinare un sacco di file sul computer interessato”, ha scritto Kaspersky Lab in un post sul blog pubblicato giovedì. “La qualità del codice è molto bassa”.
“Per ripristinare i file, è possibile utilizzare le utilità gratuite disponibili per il ripristino dei dati.”
Il recupero dei file infetti da WannaCry è stato reso possibile dai ricercatori francesi Adrien Guinet e Benjamin Delpy, che hanno creato uno strumento di decrittografia WannaCry gratuito che funziona in Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Server 2008.
E’ passato quasi un mese dall’epidemia di WannaCry, ma gli hacker dietro l’auto-diffusione del ransomware non sono ancora stati identificati.
Mentre le forze di polizia e le società di sicurezza informatica continuano a cercare risposte in merito alle origini della campagna WannaCry, la società Dark Intelligence di Flashpoint ha recentemente indicato che i perpetratori potrebbero essere cinesi, basandosi sull’analisi linguistica.