BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Investigadores de McAfee prueban un método de recuperación de WannaCry

Aunque hay evidencia de que algunas víctimas del ataque de ransomware de WannaCry el 12 de mayo han pagado a los atacantes, no hay evidencia de que estén recuperando sus datos.

En respuesta al aparente fracaso de quienes están detrás del ransomware WannaCry para entregar las claves de descifrado a las víctimas que eligen pagar el rescate, los investigadores de McAfee han probado un método potencial de recuperación.

Los investigadores han desarrollado un método de recuperación experimental que podría utilizarse para recuperar archivos, aunque con resultados mixtos. Los resultados de este estudio fueron llevados a cabo por Raj Samani, científico en jefe de McAfee y McAfee Fellow.

Los investigadores de McAfee utilizaron un método de recuperación de archivos denominado "tallado de archivos" para recuperar los datos cifrados de WannaCry. Durante los ensayos, algunos casos condujeron a una recuperación casi completa, mientras que otros fueron menos efectivos.

El método ofrece una opción para las víctimas que tratan de recuperar sus datos, pero Samani y los investigadores Christiaan Beek y Charles McFarland dicen que no aceptan ninguna responsabilidad si las cosas no salen como se esperaba.

"En nuestras pruebas, hemos tenido algunos casos en los que la recuperación fue casi completa y otros en los que estuvo cerca de cero", dijeron. "El número de variables es demasiado exhaustivo para enumerar, pero si una copia de seguridad no va a funcionar, es una opción mucho mejor que decir adiós a sus datos."

En el centro del método de recuperación experimental se encuentra una técnica conocida como "tallado de archivos" o simplemente tallado, que es el proceso de extracción de una colección de datos de un conjunto de datos más grande.

Las técnicas de talla de datos a menudo se producen durante una investigación digital cuando se analiza el espacio del sistema de archivos no asignado para extraer archivos. Los archivos son "excavados" del espacio no asignado usando valores de encabezado y pie de página específicos de tipo de archivo, dijeron los investigadores.

Sin embargo, enfatizaron que hay una gran diferencia entre las técnicas de recuperación de archivos y la de tallado.

Mientras que las técnicas de recuperación de archivos hacen uso de la información del sistema de archivos que permanece después de la eliminación de un archivo, el tallado o excavado trata con los datos sin procesar en el medio y no utiliza la estructura del sistema de archivos durante su proceso.

Al investigar el código de WannaCry, el equipo de investigación notó que una vez que se ha escrito el archivo cifrado, se sobrescribe el archivo original y se invoca FlushBuffersFile.

Durante el seguimiento de la encriptación ransomware, los investigadores observaron que en ciertos sistemas operativos, el archivo original todavía existía además del archivo cifrado y más tarde el archivo original fue eliminado.

Para las pruebas, los investigadores utilizaron un equipo de cómputo de 32 bits que ejecutaba Windows 7. A continuación, utilizaron la herramienta de recuperación PhotoRec ejecutándose desde una memoria USB con protección de escritura para buscar los archivos originales en el espacio libre del disco.

Al conectar una memoria USB, los investigadores advierten que el ransomware podría estar todavía activo y buscará y cifrará las extensiones que soporta, por lo que usaron una memoria USB protegida contra escritura.

Mediante un área en una "lista blanca" utilizada por el ransomware, los investigadores crearon el directorio C:\Windows\Dump para almacenar archivos recuperados.

Después de seleccionar el tipo de archivo apropiado para los archivos de prueba, los investigadores dijeron que tomó sólo unos minutos establecer que fueron capaces de recuperar los archivos "originales" del espacio libre del disco.

Se recalcó que cualquier persona que utiliza herramientas de tallado como PhotoRec debe ser consciente de los riesgos que tales técnicas pueden implicar y que lo hacen bajo su propio riesgo.

Los investigadores descubrieron que al crear una carpeta llamada "Windows" en la memoria USB y señalar PhotoRec a esta carpeta como el volcado de recuperación, el ransomware no tocó esa carpeta porque la carpeta $Drive\Windows está en la lista blanca.

No se puede verificar cada sistema

Los investigadores dijeron que no podían verificar cada sistema operativo afectado por la actualización MS17-110. En algunos casos, dijeron, las copias del volumen sombra (Volume Shadow Copies) no fueron suprimidas. Como resultado, fueron capaces de extraer los archivos originales de ellos.

Una de las razones por las que no se eliminaron las shadowcopies fue que no se abrió el '@WanaDecryptor@' con los derechos de control de cuentas de usuario (UAC), una conclusión que también fue observada por la agencia cibernética de la Unión Europea, Enisa.

En caso de que las copias de sombra de volumen todavía estén presentes en el sistema, los archivos podrían recuperarse de ellos, dijeron. Esto se puede verificar abriendo una línea de comandos (como administrador) y escribiendo el comando: vssadmin list shadows. Esto mostrará sus copias sombra disponibles.

Una vez que el ransomware se elimina del sistema, los investigadores dijeron que una organización podría restaurar de estas copias o utilizar herramientas de terceros para examinar los archivos de copia sombra y recuperar archivos individuales de ellos.

Debido a que los resultados fueron mixtos con diferentes plataformas, los investigadores dijeron que las organizaciones podrían al menos intentar recuperar los archivos si no hay copia de seguridad disponible.

Aunque el impacto de este ransomware fue en una escala sin precedentes, los investigadores dijeron que están alentados por la falta de pagos a los criminales.

"En tanto hacemos todo lo que podamos para combatir el ransomware, no podemos hacer esto solos y necesitamos que cada uno de ustedes siga el consejo de prevención de No Más Ransomware que emitió la Europol, pero también dejen saber a los delincuentes que no pagaremos", dijeron los investigadores.

No More Ransom es un portal en línea destinado a ayudar a las víctimas de ransomware a recuperar sus datos y a informar al público acerca de los peligros del ransomware. Se inició como una iniciativa conjunta entre McAfee (anteriormente Intel Security), la Policía Nacional Holandesa, Europol y Kaspersky Lab.

Este artículo se actualizó por última vez en mayo 2017

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close