"Telefónica Tech pone un fuerte énfasis en su estrategia de “todo en uno” y multinube híbrida, ya que busca aprovechar e integrar otras áreas de crecimiento como la Ciberseguridad y el IoT junto a la nube".
Robert Pritchard
Diciembre 2021
Wannacry File Restorer
Wannacry File Restorer permite recuperar los archivos que han quedado en mitad del proceso de cifrado del malware Wannacry en un equipo. Gracias a esta PoC se pueden recuperar dichos archivos.
Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una vez se ha llevado a cabo la limpieza de la infección, se puede recuperar la siguiente información:
- Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que este los afectara. Aquí os mostraremos un trick que permitiría recuperar parcialmente información afectada por Wannacry.
- Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red.
- Información de unidades compartidas y las unidades en la cloud.
- Información en el correo de Office365 y unidades de datos de Office 365.
- Información en dispositivos extraíbles, como puede ser un pendrive.
- Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección.
