Parfois, les auteurs de ransomware commettent des erreurs dans le code. Ces erreurs peuvent permettre aux victimes de récupérer leurs fichiers originaux après l’infection par le ransomware. Ce billet décrit brièvement plusieurs erreurs des développeurs du ransomware WannaCry.
Erreurs dans la logique de suppression de fichier
Quand WannaCry chiffre les fichiers de sa victime, il lit dans le fichier original, chiffre le contenu et l’enregistre dans un fichier qui porte l’extension « .WNCRYPT ». Après le chiffrement, il passe de « .WNCRYT » à « .WNCRY » et supprime le fichier original. Cette logique de suppression peut varier en fonction de l’emplacement et des propriétés des fichiers de la victime.
Les fichiers se trouvent sur le disque système
- Si les fichiers se trouvent dans un dossier « important » (du point de vue des développeurs du malware, par exemple Bureau ou Documents), le fichier original est écrasé par des données aléatoires avant d’être supprimé. Dans ce cas, il n’existe malheureusement aucun moyen de récupérer le contenu du fichier original.
- Si le fichier est stocké hors des dossiers « importants », le fichier original est déplacé dans le dossier %TEMP%\%d.WNCRYT (où %d représente une valeur numérique). Ces fichiers contiennent les données originales et ne sont pas écrasés. Ils sont simplement supprimés du disque, ce qui signifie que la probabilité de les récupérer à l’aide d’un logiciel de récupération de données est élevée.
Fichiers originaux renommés qui peuvent être restaurés depuis %TEMP%
Les fichiers se trouvent sur d’autres disques (non système) :
- Le ransomware crée le dossier « $RECYCLE » et définit les attributs masqué+système pour ce dossier. Cela rend le dossier invisible dans l’Explorateur de fichiers Windows s’il possède la configuration par défaut. Le malware tente de déplacer les fichiers originaux dans ce répertoire après le chiffrement.
- Toutefois, en raison d’erreurs de synchronisation dans le code du ransomware, les fichiers originaux restent dans de nombreux cas dans le même répertoire et ne sont pas déplacés dans $RECYCLE.
- Les fichiers originaux sont supprimés d’une manière qui n’est pas sécurisée. Il est donc possible de récupérer les fichiers supprimés à l’aide d’un logiciel de récupération de données.
La procédure qui détermine le répertoire temporaire dans lequel les fichiers originaux sont stockés avant la suppression
Fichiers originaux qui peuvent être récupérés depuis un disque non système
La procédure qui construit le chemin d’accès temporaire pour un fichier original
Le morceau de code qui invoque les procédures ci-dessus
Erreur de traitement des fichiers en lecture seule
Lors de l’analyse de WannaCry, nous avons remarqué que ce ransomware possède un bogue au niveau du traitement de fichier en lecture seule. Si de tels fichiers existent sur l’ordinateur infecté, le ransomware ne les chiffre pas. Il se contente de créer une copie chiffrée de chaque fichier original tandis que les fichiers originaux eux-mêmes reçoivent uniquement l’attribut « masqué ». Lorsque ceci se produit, il est facile de les retrouver et de rétablir leurs attributs normaux.
Les fichiers en lecture seule originaux ne sont pas chiffrés et restent au même endroit
Conclusions
Nos recherches poussées sur ce ransomware nous permettent d’affirmer que ses développeurs ont laissé passer beaucoup d’erreurs et comme nous l’avons dit, le code est de qualité médiocre.
Si votre ordinateur a été infecté par le ransomware WannaCry, il est fort probable que vous pourrez récupérer bon nombre des fichiers sur l’ordinateur touché. Pour récupérer ces fichiers, il suffit d’utiliser les utilitaires gratuits de récupération de fichiers. Nous invitons les organisations à partager cet article avec leurs administrateurs système car ils pourront utiliser les utilitaires de récupération de fichier sur les ordinateurs infectés du réseau.
