WannaCry: alcuni file potrebbero essere recuperabili a causa di errori nel codice del ransomware.

Ha seminato il panico nel mondo, conquistandosi la scena e la ribalta dei maggiori quotidiani internazionali, nonché dei siti specializzati e di settore. Quindi apparirà strano a molti l'affermazione che, in realtà, WannaCry  sia un ransomware di "serie z", quasi archiviabile come ransomware amatoriale. Invece è proprio così, non fosse stato per l'uso degli exploit (quelli si, davvero efficaci) dell'NSA. 

Quello cioè che ha reso famigerato - oltre che famoso- WannaCry è il fatto che grazie ad EternalBlue e DoublePulsar WannaCry ha avuto una diffusione senza precedenti (sopratutto, così dicono le statistiche, contro utenti cinesi, più che contro utenti russi o europei). 

Il codice di WannaCry è pieno di falle

La maggior parte dei ransomware usa una procedura a più stadi per criptare i file e quindi poter 

ricattare la vittima: nel dettaglio, solitamente, i ransomware creano una copia crittografata dei file e solo in un secondo momento cancellano i file originali.  Eliminare definitivamente un file dall'hard disk è comunque una operazione non proprio facile ed immediata: anche dopo aver cancellato un file dal cestino, questo resta nell'hard disk fino a quando lo spazio su cui è stato memorizzato non viene usato per "stoccare" altre informazioni. Si capisce quindi che si crea una specie di "limbo dei file": tramite un software di data recovery è possibile "raggiungerlo" e recuperare se non tutti, almeno alcuni file. Anche WannaCry prevede questo passaggio, ma il meccanismo non funziona correttamente: in particolare WannaCry non riesce a cancellare con successo i file originali dopo averne creato la copia crittografata. 

Nelle righe a seguire diamo alcuni consigli e indicazioni: non possiamo garantire l'efficacia del procedimento. Le indicazioni sotto cercando di sfruttare alcune debolezze e bug del ransomware, il cui algoritmo di criptazione resta però insoluto. Ad oggi quindi non esiste un tool di decriptazione sicuro ed affidabile al 100%.

Nel dettaglio...

Se i file si trovano sul disco di sistema (solitamente C:), WannaCry prevede diversi protocolli di comportamento a seconda della cartella in cui sono memorizzati i file bersaglio. Per le cartelle ritenute più importanti dai cyber-criminali, che sono Documenti e Desktop, il meccanismo funziona correttamente: i file vengono sovrascritti con dati casuali (quindi l'originale viene modificato), poi vengono cancellati definitivamente. Non sono quindi recuperabili. 

I file memorizzati in altre cartelle invece vengono spostati in una directory creata dal ransomware stesso, chiamata %TEMP%\%d.WNCRYT (dove % è un valore numerico random), quindi rimossi tramite normale meccanismo di cancellazione. Ciò significa che ci sono buone probabilità di recuperare alcuni file tramite software di data recovery (esclusi, come già dicevamo, i file ospitati nelle cartelle Desktop e Documenti). Stesso discorso vale per quei file ospitati in altre partizioni o altri dischi: anche in questo caso la cancellazione non è definitiva quindi il recupero è, anche se non garantito al 100%, quantomeno possibile. 

C'è un però...

Il "però" è il fatto che è difficile capire da dove si possano recuperare questi file: nei dischi che non sono di sistema il ransomware crea una cartella $RECYCLE in modo che risulti nascosta. I file che dovrebbero andare lì però, alcune volte vengono realmente spostati, altre volte no: alcuni problemi di sincronizzazione delle operazioni di WannaCry fanno si che i file, talvolta, non vengano spostati (quindi occorre andare a "cercarli" nella cartella di origine). 

File di sola lettura...

In questo caso è tutto molto più facile: WannaCry non li cancella neppure. Si limita a modificarne le proprietà rendendoli invisibili. Abilitando al visualizzazione di file e cartelel nascoste sarà possibile recuperarli.