[Segurança] É possível se recuperar do ransomware WannaCry

Essa notícia é um pequeno alívio para milhares de vítimas do Wannacry: desde a quinta-feira, dia 18/5, surgiram informações sobre pesquisadores de segurança que descobriram uma forma de recuperar os arquivos encriptados pelo WannaCry, sem necessidade de pagar os ciber criminosos.

Mas ainda é muito cedo para comemorar: as ferramentas só funcionam para algumas versões do Windows e apenas se o usuário não reiniciou a sua máquina.

Assim, surgiram rapidamente algumas ferramentas:

• Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
• WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.

Aparentemente, a ferramenta WanaKiwi é mais fácil de usar.

Tudo aconteceu por causa de uma falha nas bibliotecas de criptografia da Microsoft existente nos sistemas Windows até a versão Windows 7, que permitiu aos pesquisadores recuperar a chave de criptografia RSA a partir dos números primos utilizados para criá-la, que permanecem armazenados em memória.

Estas ferramentas procuram no processo wcry.exe, em memória, pelos números primos utilizados para gerar a chave privada RSA . Este executável, que faz parte do ransomware WannaCry, utiliza as funções CryptDestroyKey e CryptReleaseContext (que fazem parte da biblioteca Crypto API do Windows) que, nas versões do Windows XP até o Windows 7, apaga as chaves de criptografia da memória, mas mantém os números primos em memória antes de liberar a memória associada ao processo.

Segundo o desenvolvedor do "Wannakey":

"This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory."

Além disso, pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais:

• Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
• Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
• Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
• Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Veja mais informações nos links abaixo:

• Meu artigo "Ataque massivo do ransomware WannaCry em todo o mundo!"
• A FAQ sobre o WannaCry para rpublicada aqui no blog
• Artigo na Wired: "A WannaCry Flaw Could Help Some Victims Get Files Back"
• Artigo explicando o funcionamento das ferramentas para recuperar a have de criptografia do WannaCry: "WannaCry — Decrypting files with WanaKiwi + Demos"
• Artigo da Kaspersky: "WannaCry mistakes that can help you restore files after infection"

Post atualizado em 05/06/17.