wannacry 2

wannacry 2

Software

Cómo recuperar tus archivos si has sido infectado por el ransomware WannaCry

Telefónica ha lanzado un programa para recuperar archivos infectados por WannaCry, que se aprovecha de uno de sus muchos errores.

18 mayo, 2017 18:32

Noticias relacionadas

Una nueva herramienta para recuperar archivos infectados por WannaCry nos puede salvar si cometimos el error de no actualizar.

WannaCry saltó a la fama la semana pasada, después de infectar los ordenadores de Telefónica y paralizar la compañía. Pronto la broma dejó de tener gracia, cuando el ransomware se extendió a otros ordenadores, incluidos los de hospitales.

Lo peor del ataque es que se podía evitar fácilmente: actualizando Windows. El parche ya existía, pero aquellos que dejaron las actualizaciones para luego, o aún usaban sistemas no soportados como Windows XP, no lo tenían.

Si has sido infectado por WannaCry, y tus archivos han sido cifrados, no había muchas cosas que podías hacer. Como siempre, no es recomendable pagar porque no tienes ninguna garantía de que recibir la clave para descifrarlos.

El error que permite recuperar archivos cifrados

Menos de una semana después, podemos decir que ya hay una solución a WannaCry; todo gracias a una herramienta para recuperar archivos infectados por WannaCry.

Lo curioso es que el script viene de parte de Telefónica, concretamente de Chema Alonso. El popular experto en seguridad, Chief Data Office de Telefónica, fue muy criticado durante la crisis; aunque posteriormente se defendió explicando porqué los ordenadores de la compañía no tenían el parche instalado.

ea

ea

El equipo estaba comprobando que el parche no tuviese ninguna incompatibilidad con el software a medida usado por Telefónica; es un proceso lento, pero que a largo plazo merece la pena. Todo esto no evitó que la seguridad de Telefónica se convirtiese en un “meme” en redes sociales, claro.

Hoy parece que en Telefónica quieren resarcirse de esta polémica, y han lanzado Telefónica WannaCry File Restorer, un programa para recuperar archivos infectados por WannaCry.

El programa se aprovecha de cómo funciona WannaCry. El ransomware puede cifrar los archivos de dos maneras, pero en las dos usa una carpeta temporal a la que mueve los archivos que ha elegido del sistema.

Estos archivos son renombrados a “[numero].WNCRYT”, como por ejemplo, 0.WNCRYT, 1.WNCRYT, etc. Sin embargo, como aún no han sido cifrados, es posible recuperar su contenido simplemente cambiándolos a la extensión original.

La herramienta de Telefónica para recuperar archivos infectados por WannaCry

Por lo tanto, en vez de intentar descifrar los archivos, el programa creado por Telefónica busca la carpeta temporal creada por WannaCry, detecta el tipo de archivo que son, y los cambia a sus extensiones originales.

wannacry telefonica 1

wannacry telefonica 1

Lamentablemente, es difícil que incluso con este método puedas recuperar todos tus archivos; si has reiniciado o el ransomware ha terminado su trabajo, probablemente habrás perdido los archivos para siempre.

Si aún conservas estos archivos, puedes usar el Telefónica WannaCry File Restorer para recuperarlos.

Pese a su nombre rinbombante, se trata de un script que busca estos archivos, los analiza y les cambia el nombre. Es sencillo, pero hace su trabajo y funciona si aún conservamos los archivos.