Wannacry File Restorer

Wannacry File Restorer permite recuperar los archivos que han quedado en mitad del proceso de cifrado del malware Wannacry en un equipo. Gracias a esta PoC se pueden recuperar dichos archivos

Descripción de la tecnología

Cuando ocurren este tipo de situaciones en las organizaciones debemos recordar dónde tenemos ubicados los ficheros replicados con la información que en alguna instancia ha podido ser afectada por la infección de un malware o, en este caso que nos ocupa, por un ransomware. Una vez se ha llevado a cabo la limpieza de la infección, se puede recuperar la siguiente información:

- Los propios ficheros no cifrados que no fueron afectados por el malware o que no dio tiempo a que este los afectara. Aquí os mostraremos un trick que permitiría recuperar parcialmente información afectada por Wannacry.

- Los backups y copias de seguridad que tengamos de nuestra información, generalmente, no conectada a la red.

- Información de unidades compartidas y las unidades en la cloud.

- Información en el correo de Office365 y unidades de datos de Office 365.

- Información en dispositivos extraíbles, como puede ser un pendrive.

- Documentos temporales de Word, Excel o PowerPoint. Si la infección se produce cuando tenemos un documento abierto, es probable que éste haya generado un archivo temporal en el sistema. Estas extensiones no están en el radar de Wannacry, por lo que dichos archivos no serán cifrados. Una vez desinfectado, la próxima vez que se abra Word, Excel o PowerPoint podríamos recuperar dicho archivo abierto en el momento de la infección. Una vez que hemos desinfectado nuestro equipo podríamos volver a los archivos temporales que se generaron durante el momento de la infección.
Wannacry File Restorer
Tecnologías de Innovación

DirtyTooth para Raspberry Pi

Esta herramienta es una implementación del DirtyTooth Speaker en formato software, un paquete .deb para la Raspberry Pi.

DirtyTooth

Hack resuelto a partir de la versión iOS 11.2 con la que se accede a servicios e información de dispositivos con Bluetooth activado.

Recover Popcorn

Esta herramienta recupera la contraseña necesaria para descifrar los ficheros cifrados por la primera versión de PopCorn ransomware que apareció a finales de 2016.