Lisandro Pardo
La mejor manera de combatir los efectos de WannaCry en este momento es restaurar los archivos perdidos desde un respaldo. Hasta donde hemos podido averiguar, el «cripto» de este ransomware no fue quebrado, lo que mantiene alejada la posibilidad de una reversión completa. Sin embargo, WannaCry genera una cierta cantidad de archivos temporales antes de secuestrar el contenido de un ordenador, y si esos temporales quedaron «huérfanos» debido al bloqueo de un anti-ransomware u otro elemento externo, la herramienta WannaCry File Restorer de ElevenPaths y Telefónica los puede recuperar.
Ya pasó una semana desde que WannaCry convirtió a la Web en su parque de diversiones privado, y los expertos alrededor del globo aún están limpiando el desastre. Lo más probable es que en las próximas horas la fecha límite del ransomware para el rescate expire en una buena parte de las terminales afectadas. La recomendación número uno sigue siendo no pagar, pero la verdad es que muchos usuarios ya lo han hecho. Ante la ausencia de una política de respaldos robusta y la desesperación por recuperar datos, ceder a la demanda se transforma en la solución más rápida. Aún así, hay otras opciones. Un ordenador guarda copias de los archivos sin cifrar en carpetas temporales, papeleras de reciclaje, o con el sistema Shadow Copy integrado a Windows. Si una versión antigua de esos archivos fue borrada, tal vez Recuva u otro programa similar pueden sacar al usuario del apuro. Y finalmente, están los propios temporales generados por WannaCry.
Ahí es cuando interviene la herramienta WannaCry File Restorer de ElevenPaths y Telefónica. En esencia estamos ante un script de PowerShell que localiza archivos con extensión .WNCRYT, analiza el header de cada uno y los restaura a su condición anterior. La extensión .WNCRYT indica la presencia de archivos que fueron escogidos como blanco por WannaCry y quedaron a la espera de ser cifrados, sin completar el proceso. Aquellos archivos ya cifrados poseen la extensión .WNCRY, pero WannaCry File Restorer no puede hacer nada con ellos. La estrategia aquí es tratar de recuperar los archivos .WNCRYT borrados por WannaCry tras el cifrado, para luego restaurar su formato original con la ejecución del script.
No, no es lo ideal, somos los primeros en reconocerlo. El usuario promedio seguramente prefiere un ejecutable con la capacidad de revertir los efectos de WannaCry en su totalidad, pero debemos ser realistas y considerar que una herramienta con esas características tal vez no se pueda crear. WannaCry File Restorer es el término medio, un recurso más para sumar a nuestro arsenal y tratar de minimizar el impacto de este nefasto ransomware. El script se encuentra en versión alfa y debe ser interpretado como una prueba de concepto, pero dentro de sus limitaciones, funciona bastante bien.
4 Comments
Leave a Reply