Noticias
0 comments

¿Fuiste víctima de WannaCry? ¡Pues tal vez tengas suerte!

por en Mayo 19, 2017
 

Desde el 12 de mayo hemos estado a la expectativa de todo lo relacionado a la propagación de WannaCry/WannaCrypt, desde aquel día los ataques han sido el dolor de cabeza de varias compañías a nivel global, pero una de las primeras en España en ser infectadas fue Telefónica por lo que en conjunto a su director de datos el “hacker” Chema Alonso, han difundido una herramienta y tutoriales que te servirán de ayuda para recuperar de forma parcial la información perdida por este ransomware.

Antes de entrar en materia debemos saber cómo opera WannaCry, por lo que primero deben habilitar la visualización de la extensión en los archivos: En el Explorador de Windows, elija Herramientas > Opciones de carpeta. Haga clic en la ficha Ver del cuadro de diálogo Opciones de carpeta. En Configuración avanzada, seleccione Mostrar todos los archivos y carpetas ocultos. Anule la selección de Ocultar las extensiones de archivo para tipos de archivos conocidos. 

Ahora es MUY IMPORTANTE que identifiquen los dos tipos de archivo que usa este ransomware. El primero es archivo SIN cifrar con extensión WNCRYT y el que cuenta CON cifrado de extensión WNCRY.

Hasta el momento se han encontrado dos comportamientos, el primero consiste en identificar que el equipo tiene una particion de datos para utilizar la ruta de la carpeta temporal del usuario “%userprofile%\appdata\local\temp” esto para mover los archivos ahí para ser cifrados posteriormente. Este proceso ocurre paso a paso, es decir, primero el primer archivo infectado es movido y renombrado como 0.WNCRYT, el segundo 1.WNCRYT y así sucesivamente. WannaCry cifrará cada uno de estos archivos a [nombre].WNCRY y después eliminará los archivos con extensión WNCRYT, tomando en cuenta que la carpeta “temp” jamás fue cifrada es posible recuperar los archivos que fueron movidos, renombrados o incluso borrados usando herramientas gratuitas como RECUVA, aunque seguramente no se recuperarán todos los archivos :(.

El segundo método de operación de WannaCry es que este identifica si el equipo tiene dos particiones de datos en el disco duro, creando en la raíz de la segunda partición una carpeta oculta (o no) llamada $RECYCLE que por supuesto no es la misma que está asociada a la papelera de reciclaje $RECYCLE.bin. En la carpeta $RECYCLE se realiza el mismo procedimiento que el anterior para cifrar los datos, por lo que si por alguna razón encuentras en tu equipo archivos con extensión WNCRY, muy seguramente podrás recuperar tu información original.

Renombrar o recuperar la información es un proceso largo y tedioso, por lo que es recomendable que este proceso sea realizado por alguien que tenga los conocimientos necesarios.

Telefónica ha puesto a nuestra disposición un par de scripts que permiten ralizar el proceso de renombramiento de archivos WNCRYT y acá les dejamos los enlaces.

De igual forma en el post original están todo el proceso explicado paso a paso y con videos y sobre todo en español por lo que les será más sencillo seguirlo y lo pueden encontrar en este enlace.

Tutorial paso a paso

Nadie está libre de que esto pueda volver a pasar, por ello es muy recomendable tomar ciertas medidas de forma preventiva y por lo menos les dejo 5 puntos a seguir y en un próximo artículo pondremos iremos a fondo.

  1. Tener respaldo de tu información en la nube o un disco duro externo.
  2. Tener tu sistema operativo siempre actualizado
  3. Si usarás una memoria USB, siempre analízala con un antivirus para examinarla, es un proceso tardado, pero sería peor que pierdas tu información
  4. Descargar programas, archivos, fotos, etc., de fuentes confiables.
  5. Si estás descargando algo y dejas el equipo prendido, instala programas de acceso remoto (con una buena contraseña) para monitorear de forma regular el comportamiento de tu computadora, si lo haces durante la noche, manten tu antivirus actualizado y programado para que detecte y desinfecte las carpetas descargadas (lo sabemos, estas descargando torrents)

Para finalizar, les dejamos una serie de artículos que hablan al respecto y el Facebook live que realizamos hablando de WannaCry/WannaCrypt para que estén al día.

Se el primero en comentar
 
Responder »

 

Deja un Comentario 

10 + 18 =