Ransomware WannaCry, médiatisé mais pas infaillible
WannaCry a fait beaucoup de bruit en 2017. Touchant de grandes firmes internationales, il a surtout mis en exergue les failles des systèmes de sécurité informatique de ce type de structure et la vulnérabilité de certaines données. Pourtant, les experts de l’univers des anti-virus s’associent pour dire que ce n’est pas le virus le plus sophistiqué auquel ils aient eu à faire. Certaines lacunes de WannaCry seraient même contournables pour pouvoir récupérer des données.
Les fichiers en lecture seule récupérables par restauration
Ce Ransomware fonctionne de cette façon avec les fichiers en lecture seule : il copie et chiffre les fichiers d’origine puis les masque. Les nouveaux fichiers dupliqués se présentent alors avec l’extension .wncry. De ce fait, en passant par une restauration du système, on peut récupérer des fichiers récemment transformés.
Une autre technique pour les autres fichiers
Là, c’est une autre paire de manches. Le destin de vos données dépend de leur emplacement initial sur l’ordinateur. Le Ransomware repère si le fichier est sur ou hors de la partition système :
– Sur la partition système
Sur cette dernière, il détecte et catégorise les répertoires comme importants (Les répertoires Windows, Mes Documents et le bureau) ou moins importants (fichier à la racine de C:/ par exemple).
Les fichiers situés dans les répertoires importants sont traités en priorité et écrasés par le processus de WannaCry. Pour les autres, ils vont être déplacés vers %TEMP%\%d.WNCRYT (%d = valeur numérique). Ces fichiers correspondent aux originaux des fichiers cryptés et supprimés par le ransomware. Une récupération de données est donc tout à fait possible à ce niveau là puisque un fichier supprimé laisse des traces.
– Sur une partition non système
Dans ce cas là, un dossier masqué appelé $RECYCLE (comme la corbeille) est créé pour rassembler les originaux des fichiers cryptés. Une erreur de code empêche ces fichiers de migrer vers ce répertoire. Dans ce cas, les fichiers supprimés pourront également être récupérables en passant par la restauration système.
Ce qu’il faut retenir de cet article, c’est qu’il ne faut pas s’avouer vaincu face à un ransomware. En revanche, pensez à faire appel assez tôt à un professionnel de manière à ne pas faire une manœuvre qui pourrait s’avérer irréversible pour vos données. Dès que vous détectez la présence d’un ransomware, éteignez l’ordinateur au plus vite, plus l’ordinateur sera alimenté, plus les dégâts seront importants.
