Come recuperare i file Excel in seguito ad attacco ransomware lockbit

Gli attacchi ransomware sono progettati per bloccare in modo più veloce ed efficace possibile i Vostri File per poi poter esigere un pagamento per la decifratura.

Uno degli aspetti interessanti della encryption eseguita dal ransomware lockbit è la tipologia di attacco rilevata nei file office word excel e powerpoint.

Gli attacchi analizzati hanno dimostrato che l’area criptata interessa solo una parte del file originale, nello specifico i primi 8 settori del flusso per un totale di 4Kb.

Il danneggiamento prodotto su un file XLSX o DOCX è tuttavia talmente tanto serio da comprometterne il funzionamento e qualsiasi possibilità di riparazione.

Analisi dei file Office Xlsx in formato office 2007

I nuovi file office XLSX, ormai disponibili dal 2007 sono degli aggregati di elementi xml compressi con un algoritmo zip.

Essendo più elementi distribuiti in sottocartelle e metadati possiamo paragonare un file office ad una cartella compressa contenente fogli di lavoro, corpo documento e fogli di stile.

Una corruzione prodotta sull’header del file Excel per esempio da parte del ransomware Lockbit danneggia severamente i contenuti ma non integralmente.

E possibile infatti tentare una riparazione del file office criptato trattandolo come uno zip danneggiato.

Come riparare il file office danneggiato con la utility integrata in Winzip

Utilizzando le librerie zip con gli switch da riga di comando è possibile eseguire una scansione del flusso zip corrotto dal Lockbit e ricostruire il file zip nelle zone ancora integre.

Il comando da eseguire è molto semplice:

zip -F documentorotto.xlsx --out documentoriparato.xlsx

Se si desidera eseguire una scansione più profonda

zip -FF documentorotto.xlsx --out documentoriparato.xlsx

Fix archive (-FF) - salvage what can
Found end record (EOCDR) - says expect single disk archive
Scanning for entries...
copying: _rels/.rels (226 bytes)
copying: [Content_Types].xml (333 bytes)
copying: docProps/app.xml (119 bytes)
copying: docProps/core.xml (123 bytes)
copying: xl/_rels/workbook.xml.rels (222 bytes)
copying: xl/theme/theme1.xml (130 bytes)
copying: xl/sharedStrings.xml (119 bytes)
copying: xl/styles.xml (751 bytes)
copying: xl/workbook.xml (202 bytes)
copying: xl/worksheets/sheet1.xml (901 bytes)
Central Directory found...
EOCDR found ( 1 5206)...

La struttura gerarchica del file excel è molto intuitiva, esistono un xml per la radice del documento e file xml per le relazioni dei fogli di lavoro.

Il risultato finale del processo di riparazione sarà un nuovo zip funzionante ma che se volessimo aprire in excel non funzionerebbe in quanto è possibile che diversi metadati sono andati perduti a causa della cifratura prodotta dal virus.

E’ tuttavia possibile eseguire la riparazione manuale del file Excel creando manualmente gli elementi corrotti e ricreando manualmente le corrispondenze.

Identificare gli elementi essenziali per il funzionamento del documento office

1.La Root del documento office

2.Le relazioni del documento office

3.Le relazioni del foglio di lavoro

Se necessario utilizzate un foglio di lavoro funzionante xlsx come campione per inserire gli elementi di quello danneggiato.

Come riparare il documento excel danneggiato con un singolo foglio di lavoro

Se volessimo riparare un foglio di lavoro semplice composto da un solo foglio di lavoro sarà sufficiente utilizzare un documento vuoto ed utilizzarlo come template.

1. Estrarre il documento base xlsx con winzip
2. Riparare il documento danneggiato con utility zip
3. Estrarre il documento riparato
4. Sostituire i file sheet1.xml e sharedstrings.xml nel template con quelli presenti nel documento riparato
5. Ricreare il file zip rinominandolo xlsx

Conclusioni

Se l’attacco prodotto dal virus ha seguito uno schema tradizionale è possibile che non tutto il file excel sia danneggiato.

Con una utility gratuita è possibile ricostruire i fogli di lavoro danneggiati e ricostruire manualmente il documento originale.