Si su PC ha sido infectada por WannaCry , el ransomware que causó estragos en todo el mundo el viernes pasado, podría tener la suerte de recuperar sus archivos bloqueados sin pagar el rescate de 300 dólares a los criminales cibernéticos.
Adrien Guinet, un investigador francés de seguridad de Quarkslab, ha descubierto una manera de recuperar las claves de cifrado secreto utilizadas por el ransomware de WannaCry de forma gratuita, que funciona en los sistemas operativos Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008.
Para evitar que la víctima acceda a la clave privada y descifrar los archivos bloqueados él mismo, WannaCry borra la clave del sistema, no dejando ninguna opción para que las víctimas recuperen la clave de descifrado excepto pagar el rescate al atacante.
El truco esta en que WannaCry no borra las claves en la memoria. Basado en este hallazgo, Guinet lanzó una herramienta de descifrado de WannaCry, llamada WannaKey, que básicamente intenta recuperar los dos números primos, usados en la fórmula para generar claves de cifrado de memoria, y funciona sólo en Windows XP.
Lo hace al buscarlos en el proceso wcry.exe. Este es el proceso que genera la clave privada RSA. El principal problema es que CryptDestroyKey y CryptReleaseContext no borra los números primos de la memoria antes de liberar la memoria asociada. Dice Guinet
Por lo tanto, esto significa que este método sólo funcionará si:
- El equipo afectado no se ha reiniciado después de haber sido infectado.
- La memoria asociada no ha sido asignada y borrada por algún otro proceso.
Una buena noticia es que otro investigador de seguridad, Benjamin Delpy, desarrolló una herramienta fácil de usar llamada «WanaKiwi» basada en el hallazgo de Guinet, que simplifica todo el proceso de descifrado del archivo infectado por WannaCry.
Todas las víctimas tienen que hacer es descargar la herramienta WanaKiwi de Github y ejecutarlo en su computadora afectada de Windows usando la línea de comandos (cmd).
WanaKiwi trabaja en Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008, confirmó Matt Suiche de la firma de seguridad Comae Technologies, quien también ha proporcionado algunas demostraciones que muestran cómo usar WanaKiwi para descifrar sus archivos.
Descargar Herramientas
WannaKey: https://github.com/aguinet/wannakey
WannaKiwi: https://github.com/gentilkiwi/wanakiwi/releases