Les chercheurs de la firme Kaspersky Lab rapportent qu’au moment de chiffrer les fichiers de la victime, le fichier original est lu, son contenu est chiffré et sauvegardé dans un autre avec l’extension .WNCRYPT. Le fichier avec l’extension .WNCRYPT est ensuite renommé avec l’extension .WNCRY et l’original est détruit ou simplement masqué. Ils rapportent que ce processus dépend de l’emplacement du fichier concerné au sein de l’ordinateur et de ses attributs.
Dans le cas des fichiers en lecture seule, les chercheurs rapportent que le ransomware crée une copie chiffrée des fichiers originaux qui, eux-mêmes, sont simplement masqués. On peut voir sur l’image ci-dessous que chaque fichier avec l’extension .WNCRY a un correspondant qui est le fichier original masqué. Ceci a comme implication que les fichiers sont aisément récupérables en procédant à une restauration de leurs attributs normaux.
Pour ce qui est des fichiers qui ont leur attribut lecture seule non activé, la situation est un peu plus complexe et dépend de l’emplacement du fichier au sein de l’ordinateur affecté. Les chercheurs rapportent que le code du ransomware fait le distinguo entre les fichiers situés sur la partition système et ceux situés en dehors. Pour ce qui est de la partition système, le code du ransomware discrimine les répertoires « importants » - répertoire Windows, documents, bureau, etc. - et ceux qui ne le sont pas, par exemple un fichier qui serait situé sur la racine de la partition système.
D’après ce qui ressort de leur analyse de la section de code du ransomware censée gérer les fichiers situés sur la partition système (cf. image 1 ci-dessous), ceux situés dans les répertoires importants sont écrasés avec des données aléatoires et ne peuvent donc être récupérés. Ceux situés dans les répertoires non marqués comme étant importants sont placés dans des fichiers dont le chemin d’accès est %TEMP%\%d.WNCRYT où %d représente une valeur numérique (cf. image 2 ci-dessous). Il s’agit en réalité des fichiers chiffrés qui, aux dires des chercheurs, correspondent aux originaux qui sont supprimés par le ransomware. Les chercheurs indiquent que l’usage d’un outil de récupération des données peut permettre de récupérer les fichiers originaux qui, même s’ils sont supprimés, laissent en principe des traces.
Il y a enfin le cas des données situées sur les partitions non système. Leur analyse de la section de code censée gérer des fichiers situés sur de telles partitions (cf. image 3 ci-dessous) révèle que le ransomware crée un répertoire masqué $RECYCLE invisible via l’explorateur de fichiers. Ce répertoire est censé accueillir les fichiers chiffrés. Les chercheurs font état de ce qu’à cause de certaines erreurs de synchronisation dans le code, la plupart des fichiers originaux demeurent à leur emplacement d’origine et ne sont pas déplacés vers le répertoire $RECYCLE. Dans ce cas également, la suppression des fichiers par le ransomware laisse des traces qui permettent une récupération à l’aide d’un outil dédié (cf. image 4 ci-dessous).
Il faudrait rappeler que cette publication des chercheurs de la firme Kaspersky Lab intervient dans un contexte où un certain nombre d’outils de déchiffrement ont déjà été mis à disposition du public. Un inconvénient majeur demeure cependant avec ces outils : la machine infectée ne doit pas avoir été redémarrée. La publication de la firme Kaspersky semble apporter un plus à ces développements ultérieurs en ce sens qu’elle donne une idée de l’emplacement des fichiers chiffrés et par conséquent des originaux. Ceci suppose que l’usage correct d’un outil de récupération des données sur un disque installé sur une machine d’emprunt peut permettre de récupérer des données.
Source : SECURELIST
Et vous ?
Qu’en pensez-vous ?
Voir aussi :
L'exploit EternalBlue, utilisé pour armer WannaCry, pourrait également être porté sur Windows 10, d'après des chercheurs de RiskSense
Faites attention aux faux correctifs de WannaCry diffusés en ligne, les chercheurs en sécurité recommandent la prudence et le bon sens