Início » Segurança » Ferramenta recupera arquivos sequestrados pelo WannaCry sem pagar resgate

Ferramenta recupera arquivos sequestrados pelo WannaCry sem pagar resgate

Por
19/05/2017 às 10h58
Já conhece a nova extensão do Tecnoblog? Baixe Agora

Ainda há esperança: usuários afetados pelo WannaCry poderão recuperar seus arquivos sem pagar o resgate de US$ 300 a 600 em bitcoins. O pesquisador de segurança Adrien Guinet estudou a forma como o ransomware gera a chave de criptografia e criou uma ferramenta para desbloquear os dados. Ela foi aprimorada para funcionar inclusive em versões mais recentes do Windows, como o Windows 7.

O WannaCry se baseia em dois números primos para gerar as chaves de criptografia. Depois que os arquivos são sequestrados, a chave privada é excluída para evitar que o próprio usuário consiga descriptografar seus dados. No entanto, Guinet descobriu que o WannaCry não limpa os números primos da RAM. A ferramenta, então, consegue recuperá-los e fazer os cálculos para voltar com os arquivos originais.

Outro pesquisador de segurança, chamado Benjamin Delpy, criou nesta sexta-feira (19) o Wanakiwi, que é baseado na ferramenta de Guinet, mas simplifica o processo. Ele encontra os números primos automaticamente, descriptografa os dados e cria arquivos compatíveis com o ransomware, que também evitam que o WannaCry entre em atividade novamente na máquina.

Este GIF mostra o Wanakiwi descriptografando arquivos em um computador com Windows 7:

E com Windows XP:

Como os números primos utilizados na criptografia ficam armazenados temporariamente na RAM, é importante que o computador não seja reiniciado depois de infectado, caso contrário, o Wanakiwi não funciona. Ainda não há um método conhecido para descriptografar arquivos em máquinas reinicializadas sem pagar o resgate exigido pelos criminosos.

Você pode baixar o Wanakiwi gratuitamente no GitHub. A ferramenta funciona por meio do Prompt de comando e já foi testada com sucesso no Windows XP, Windows 7, Windows Vista, Windows Server 2003 e Windows Server 2008.

Mais sobre:
  • Trovalds

    Questão de tempo até conseguirem, FATO.

  • Ramon Gonzalez

    Muito bom!! Sabia que cedo ou tarde ia acontecer.

    • edcley firmino

      É, mas aí eles aprimoram o vírus para não deixar os dados da chave privada na ram

      • Ramon Gonzalez

        esse e o objetivo: evolução dos dois lados. É como um trem desgovernado impossivel de ser parado

        • edcley firmino

          Infelizmente para um vírus que criptografa arquivos de forma eficiente, só consigo ver como solução eficaz, um backup offline.

          • Ramon Gonzalez

            Isso aí. Independente de uma solução para o problema, um ou dois backups externos são sempre uma boa pedida (ou dependendo da importância dos dados, são vitais).

  • Adriano

    Um backup off line resolveria tudo.
    Formata o Pc e restaura os backups off. Simples assim.

    • Diego Freitas

      Acontece que o vírus também afeta arquivos offline,assim como também os arquivos salvos em nuvem.

      • Acho que o Adriano se referiu a um backup off em um HD externo, algo assim.
        Em nuvem ele só conseguiria afetar se invadisse os servidores da nuvem(Dropbox, Google, etc…), então acredito que o que o vírus vai afetar será sua cópia local da nuvem(ex. sua pasta dropbox), mas não os arquivos da nuvem.

        • Adriano

          Exato 👍🏻

          • Tiago Tedesco

            Blz, muito prático fazer backup de 1 PC e formatar, e como seria numa empresa com 800 PCs? Vai formata saporra toda?

          • Adriano

            Primeiro – Qualquer empresa que se prese, e nem precisa ter 800 PCs, obrigatoriamente, necessita de um sistema de backup que garanta a segurança e o sigilo de suas informações.

            Segundo – Ninguém precisa fazer backup de um Pc inteiro, e sim apenas os arquivos que se pretende proteger.

            Terceiro – O valor de informações confidenciais de uma media ou grande empresa, por si só já justificam a necessidade de sim, uma infraestrutura robusta de backup para garantir a integridade de seus dados.

            Quarto e último – Quem acredita que a internet é um lugar bacana e que os incidentes, se resumem a uma mera probabilidade estatística, não podevreclamar depois que tiver sua empresa sendo chantageada e exposta pra quem quiser ver.

            Custa caro manter o sigilo de suas informações? Custa, mas é o preço a se pagar.

            Um “causo” real…
            Um amigo comprou um notebook. Convenci-o de fazer um backup off diário de suas informações e manter as informações no notebook criptografadas. Pois bem, um belo dia, roubaram-no. Ele me agradeceu muito depois desse dia. Claro que houve o prejuízo material, digamos assim, o notebook foi caro, mas foi somente isso.

            Eu garanto que os custos de um backup, são infinitamente menores se comparados aos da negligência.

          • edcley firmino

            Você pode fazer via servidor de imagens, como um fogserver, por exemplo

        • Carlos Matos

          Errado, se a nuvem espelhar os arquivos locais ele atualiza os que estão em nuvem pelo criptografado o ideal nesse caso é ter um delay entre nuvem e fisico.

          • TKO

            Você está certo, tenho um servidor no Canadá que foi infectado e os backup de banco de dados que ficam no onedrive, foram espelhados e todos os backup perdidos.

          • Carlos Matos

            Lamento, pra esse cenário é importante um delay com margem de segurança, talvez voce possa solicitar os arquivos a data inferior ao one drive que deve ter o full disso.

            Att

          • edcley firmino

            Mas não tem versionamento ou snapshot

          • edcley firmino

            Por isso tem o versionamento e snapshots

      • Adriano

        Sério?
        De que forma ele infectaria os arquivos de um pendrive, que está no meu bolso?…ou um HD externo, dentro de uma gaveta?

  • Marcogro®

    Saiu rápido a vacina…

    • Julio da Gaita

      não é mesmo, de choro mesmo foi pouco…

  • Dropbox…

  • Silvano Fontes

    O norte coreano cria o WannaCry e vai o francês e cria o WannaSmile.
    #ThanksFrance

  • Keaton

    No entanto, Guinet descobriu que o WannaCry não limpa os números primos da RAM.

    RIP WannaCry *2017/05/12 †2017/05/19

    • Hemerson Silva

      RIP não tão RIP assim.

  • Glauber Silva

    Na empresa onde trabalho um servidor pegou o wannacry.
    Voltei a imagem de um dia anterior.
    Fim.