De acordo com informações da Kaspersky Lab, erros no código do ransomware WannaCrypt (ou WannaCry) podem facilitar a recuperação dos arquivos bloqueados por ele.
Erros no código do ransomware WannaCrypt podem facilitar a recuperação dos arquivos.
Uma equipe de pesquisadores de segurança da empresa descobriu uma grande quantidade de erros no código do ransomware, que infectou computadores de empresas e hospitais no mundo todo no início deste mês.
Alguns dos erros encontrados possibilitam a recuperação dos arquivos com ferramentas já disponíveis publicamente, como a WanaKiwi e a WannaKey.
Um exemplo é o erro no mecanismo de processamento de arquivos com atributo “somente leitura” do ransomware que faz com que em alguns casos os arquivos com este atributo não sejam bloqueados por ele. Por causa deste erro, o ransomware acaba criando e bloqueando cópias dos arquivos ao invés de bloquear os originais, que por sua vez recebem o atributo “oculto” – que é bem simples de ser removido. O ransomware é incapaz de apagar os arquivos originais.
O trabalho da equipe da Kaspersky pode ajudar empresas que foram infectadas pelo ransomware WannaCrypt, mas o método de restauração tem seus limites.
Se o arquivo estiver em uma pasta considerada como “importante”, como a pasta Documentos do Windows, o original será substituído por outro com dados aleatórios antes da remoção. Neste caso, a recuperação do original sem pagar o resgate para os criminosos é praticamente impossível.
Se os arquivos estiverem armazenados em outro local, a chance de recuperação é um pouco maior. Neste caso os originais serão movidos para %TEMP%\%d.WNCRYT (onde %d é um valor numérico) e deletados. Com isso as chances de restaurar os originais usando uma ferramenta para recuperação de dados são muito maiores.
Fonte: https://www.baboo.com.br/seguranca/erros-no-codigo-do-ransomware-wannacrypt-podem-facilitar-a-recuperacao-dos-arquivos/