Veja como recuperar arquivos capturados pelo Ransomware WannaCry.

Veja como recuperar arquivos capturados pelo Ransomware WannaCry.

Desbloqueie seus arquivos sem pagar resgate – Se tiver sorte

Se o seu PC foi infectado pelo Ransomware WannaCry – que causou estragos em todo o mundo em 2017 – você pode ter sorte para recuperar seus arquivos bloqueados sem pagar o resgate para os cibercriminosos.

Adrien Guinet, pesquisador de segurança francês da Quarkslab, descobriu uma maneira de recuperar as chaves de criptografia secretas usadas pelo ransomware WannaCry gratuitamente, que funciona nos sistemas operacionais Windows XP, Windows 7, Windows Vista, Windows Server 2003 e 2008.

Como funciona o Ransomware WannaCry ?

O esquema de criptografia do WannaCry funciona gerando um par de chaves no computador da vítima que dependem de números primos, uma chave “pública” e uma chave “privada” para criptografar e descriptografar os arquivos do sistema, respectivamente.

Para evitar que a vítima acesse a chave privada e desencriptografe os arquivos bloqueados, o Ransomware WannaCry apaga a chave do sistema, não deixando nenhuma escolha para as vítimas recuperarem a chave de descriptografia, exceto pagar o resgate ao atacante.

Mas aqui está o ponto chave: o WannaCry “não apaga os números primos da memória antes de liberar a memória associada”, diz Guinet.

Então como recuperar as chaves de descriptografia?

Com base nessa descoberta, Guinet lançou uma ferramenta de descriptografia do ransomware WannaCry, chamada WannaKey, que basicamente tenta recuperar os dois números primos, usados ​​na fórmula para gerar chaves de criptografia da memória e funciona apenas no Windows XP.

Nota: Abaixo, você lerá sobre outra ferramenta, denominada WanaKiwi, que funciona para o Windows XP, Windows 7, Windows Server 2003 e 2008.

“Ele faz isso procurando por eles no processo wcry.exe. Este é o processo que gera a chave privada RSA. O problema principal é que CryptDestroyKey e CryptReleaseContext não apaga os números primos da memória antes de liberar a memória associada” diz Guinet.

Então, isso significa que esse método funcionará somente se:

  • O computador afetado não for reiniciado após a infecção.
  • A memória associada não for alocada e apagada por algum outro processo.

“Para funcionar, o seu computador não pode ter sido reiniciado depois de ter sido infectado. Por favor, note que você precisa de sorte para que isso funcione (veja abaixo), e isso pode não funcionar em todos os casos!”, diz Guinet.
“Este não é realmente um erro dos autores do ransomware, pois eles usam corretamente a API do Windows Crypto”.

Enquanto o WannaKey apenas puxa números primos da memória do computador afetado, a ferramenta só pode ser usada por aqueles que podem usar esses números primos para gerar a chave de descriptografia manualmente para descriptografar os arquivos do PC infectados pelo WannaCry.

WanaKiwi: Ferramenta de descriptografia do WannaCry Ransomware

Uma boa notícia é que outro pesquisador de segurança, Benjamin Delpy, desenvolveu uma ferramenta fácil de usar chamada “WanaKiwi”, baseada na descoberta de Guinet, o que simplifica todo o processo de descodificação de arquivos infectados pela WannaCry.

O que todas as vítimas têm que fazer é baixar a ferramenta WanaKiwi da Github e executá-la em seu computador Windows afetado usando a linha de comando (cmd).

WanaKiwi trabalha no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e 2008, confirmou Matt Suiche da empresa de segurança Comae Technologies, que também forneceu algumas demonstrações mostrando como usar o WanaKiwi para descriptografar seus arquivos.

Veja abaixo um vídeo que exemplifica o funcionamento do aplicativo para reverter o ransomware.

Nem tudo está perdido

Embora a ferramenta não funcione para todos os usuários devido às suas dependências, ainda assim dá esperança às vítimas da WannaCry de recuperar seus arquivos bloqueados de graça mesmo do Windows XP, a versão em grande parte, não suportada do sistema operacional da Microsoft.

Talvez o sistema operacional que você utiliza ainda não tenha um ferramenta capaz de recuperar os arquivos, contudo, existem formas de se proteger desse e de vários outros tipos de ransomware. Uma dessas formas é utilizando um endpoint protection de qualidade.

Pensando nisso, gostaríamos de sugerir a leitura de um artigo que explicamos e demonstramos o Sophos Intercept X, o antiransomware de uma grande fabricante do cenário de segurança, a Sophos.

Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do blog@triplait.com.

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

 

 

Powered by WP Review

About the Author

Hugo Bär
Sócio-diretor da Tripla, responsável pela área de Tecnologia, Inovação e Desenvolvimento de Produtos, com mais de 15 anos de experiência em empresas no Brasil e Europa, nas áreas de redes e segurança da informação