Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

Contenu

Parfois, les auteurs de ransomware commettent des erreurs dans le code. Ces erreurs peuvent permettre aux victimes de récupérer leurs fichiers originaux après l’infection par le ransomware. Ce billet décrit brièvement plusieurs erreurs des développeurs du ransomware WannaCry.

Erreurs dans la logique de suppression de fichier

Quand WannaCry chiffre les fichiers de sa victime, il lit dans le fichier original, chiffre le contenu et l’enregistre dans un fichier qui porte l’extension « .WNCRYPT ». Après le chiffrement, il passe de « .WNCRYT » à « .WNCRY » et supprime le fichier original. Cette logique de suppression peut varier en fonction de l’emplacement et des propriétés des fichiers de la victime.

Les fichiers se trouvent sur le disque système

  • Si les fichiers se trouvent dans un dossier « important » (du point de vue des développeurs du malware, par exemple Bureau ou Documents), le fichier original est écrasé par des données aléatoires avant d’être supprimé. Dans ce cas, il n’existe malheureusement aucun moyen de récupérer le contenu du fichier original.
  • Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

  • Si le fichier est stocké hors des dossiers « importants », le fichier original est déplacé dans le dossier %TEMP%\%d.WNCRYT (où %d représente une valeur numérique). Ces fichiers contiennent les données originales et ne sont pas écrasés. Ils sont simplement supprimés du disque, ce qui signifie que la probabilité de les récupérer à l’aide d’un logiciel de récupération de données est élevée.

Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

Fichiers originaux renommés qui peuvent être restaurés depuis %TEMP%

Les fichiers se trouvent sur d’autres disques (non système) :

  • Le ransomware crée le dossier « $RECYCLE » et définit les attributs masqué+système pour ce dossier. Cela rend le dossier invisible dans l’Explorateur de fichiers Windows s’il possède la configuration par défaut. Le malware tente de déplacer les fichiers originaux dans ce répertoire après le chiffrement.
  • Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

    La procédure qui détermine le répertoire temporaire dans lequel les fichiers originaux sont stockés avant la suppression

  • Toutefois, en raison d’erreurs de synchronisation dans le code du ransomware, les fichiers originaux restent dans de nombreux cas dans le même répertoire et ne sont pas déplacés dans $RECYCLE.
  • Les fichiers originaux sont supprimés d’une manière qui n’est pas sécurisée. Il est donc possible de récupérer les fichiers supprimés à l’aide d’un logiciel de récupération de données.

Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

Fichiers originaux qui peuvent être récupérés depuis un disque non système

Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

La procédure qui construit le chemin d’accès temporaire pour un fichier original

Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

Le morceau de code qui invoque les procédures ci-dessus

Erreur de traitement des fichiers en lecture seule

Lors de l’analyse de WannaCry, nous avons remarqué que ce ransomware possède un bogue au niveau du traitement de fichier en lecture seule. Si de tels fichiers existent sur l’ordinateur infecté, le ransomware ne les chiffre pas. Il se contente de créer une copie chiffrée de chaque fichier original tandis que les fichiers originaux eux-mêmes reçoivent uniquement l’attribut « masqué ». Lorsque ceci se produit, il est facile de les retrouver et de rétablir leurs attributs normaux.

Erreurs dans WannaCry qui permettent de récupérer les fichiers après une infection

Les fichiers en lecture seule originaux ne sont pas chiffrés et restent au même endroit

Conclusions

Nos recherches poussées sur ce ransomware nous permettent d’affirmer que ses développeurs ont laissé passer beaucoup d’erreurs et comme nous l’avons dit, le code est de qualité médiocre.

Si votre ordinateur a été infecté par le ransomware WannaCry, il est fort probable que vous pourrez récupérer bon nombre des fichiers sur l’ordinateur touché. Pour récupérer ces fichiers, il suffit d’utiliser les utilitaires gratuits de récupération de fichiers. Nous invitons les organisations à partager cet article avec leurs administrateurs système car ils pourront utiliser les utilitaires de récupération de fichier sur les ordinateurs infectés du réseau.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *