A no ser que hayas estado viviendo debajo de una roca en las últimas semanas, te habrás enterado del calibre del mayor ciberataque de la historia. Cientos de miles de PCs infectados en 150 países, millones de archivos encriptados… WannaCry ha ocupado la mayoría de los titulares de todo el mundo. Lo que a priori parecía un virus letal para los archivos… se ha demostrado que no lo es. Hoy les traemos lo que deben que hacer para recuperar sus archivos si han sido afectados por el ransomware WannaCry. Estos consejos vienen dados por el famoso hacker español Chema Alonso, así que pueden estar tranquilos.

Primeros pasos:

1. Correos adjuntos

2. Shadow copies de Windows

3. Pendrives

4. Recuperadores de ficheros eliminados (como Recuva)

Extensiones afectadas (o no) por WannaCry:

•.lay6 •.sqlite3 •.sqlitedb •.accdb •.java •.class •.mpeg •.djvu •.tiff •.backup •.vmdk •.sldm •.sldx •.potm •.potx •.ppam •.ppsx •.ppsm •.pptm •.xltm •.xltx •.xlsb •.xlsm •.dotx •.dotm •.docm •.docb •.jpeg •.onetoc2 •.vsdx •.pptx •.xlsx •.docx

Hay bastantes como podeis ver, pero tal vez alguno de vuestros archivos este en una extensión singular. Las no afectadas son, por ejemplo:

• doc – Legacy Word document.

• .dot – Legacy Word templates.

• .wbk – Legacy Word document backup.

• .xls – Legacy Excel worksheets.

• .xlt – Legacy Excel templates.

• .xlm – Legacy Excel macro.

• .ppt – Legacy PowerPoint presentation.

• .pps – Legacy PowerPoint presentation.

• .pot – Legacy PowerPoint template.

• .pps – Legacy PowerPoint slideshow.

• .pdf – Portable Document Format.

• .odt – Open Document Text.

• .ods – Open Document Spreadsheet.

• .odp – Open Document Presentation.

• .odg – Open Document Graphic.

• .sxw – Open Office Binario.

• .rtf – Rich Text Format.

• .tmp – PowerPoint Temporary PPT.

• .xar – Excel Temporary XLS.

• .asd – Word Temporary DOC.

Papeleras de reciclaje de carpetas en la nube

Cuando se borra un archivo cifrado en el ordenador, se elimina también de la nube, donde muchos servicios tienen la carpeta de reciclaje activada. Revisad bien vuestros perfiles de OneDrive o Dropbox.

Ficheros temporales de WannaCry

En el primer caso, el malware identifica que el equipo tiene una partición de datos y utiliza la ruta %userprofile%\appdata\local\temp para mover los archivos a cifrar. El primer archivo que se mueve, es renombrado como 0.WNCRYT, el segundo como 1.WNCRYT, y así sucesivamente. Esos archivos, acabados en “WNCRYT“ son los que va a cifrar, pero aún no están cifrado. Es decir, son el fichero de extensión, por ejemplo, DOCX, que WannaCry selecciona para cifrar, copiado a esa carpeta pero aún sin cifrar. Posteriormente, Wannacry irá cifrando cada uno de esos archivos a [nombre].WNCRY e instantes después, elimina el fichero *.WNCRYT correspondiente.

El archivo almacenado en %userprofile%\appdata\local\temp es temporal y no está cifrado, por lo que se puede recuperar. Es probable que no se puedan recuperar todos, pero si un alto porcentaje.