WannaCry Ransomware Herramienta de descifrado liberado; Desbloquear archivos sin pagar Ransom
Si su PC ha sido infectada por WannaCry, el ransomware que causó estragos en todo el mundo el viernes pasado, podría tener la suerte de recuperar sus archivos bloqueados sin pagar el rescate de 300 dólares a los criminales cibernéticos.
Adrien Guinet, un investigador francés de seguridad de Quarkslab, ha descubierto una manera de recuperar las claves de cifrado secreto utilizadas por el ransomware de WannaCry de forma gratuita, que funciona en los sistemas operativos Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008.
WannaCry Ransomware claves de descifrado
El esquema de cifrado de WannaCry funciona generando un par de claves en la computadora de la víctima que dependen de números primos, una clave “pública” y una clave “privada” para cifrar y descifrar los archivos del sistema, respectivamente. Para evitar que la víctima acceda a la clave privada y descifrar los archivos bloqueados él mismo, WannaCry borra la clave del sistema, no dejando ninguna opción para que las víctimas recuperen la clave de descifrado excepto pagar el rescate al atacante. Pero aquí está el kicker: WannaCry “no borra los números primos de la memoria antes de liberar la memoria asociada”, dice Guinet. Basado en este hallazgo, Guinet lanzó una herramienta de descifrado de Wanscredware WannaCry, llamada WannaKey, que básicamente intenta recuperar los dos números primos, usados en la fórmula para generar claves de cifrado de memoria, y funciona sólo en Windows XP. Nota: A continuación he mencionado también otra herramienta, denominada WanaKiwi, que funciona para Windows XP a Windows 7.
“Lo hace al buscarlos en el proceso wcry.exe.Este es el proceso que genera la clave privada RSA.El principal problema es que CryptDestroyKey y CryptReleaseContext no borra los números primos de la memoria antes de liberar la memoria asociada. Dice Guinet
Por lo tanto, esto significa que este método funcionará sólo si: El equipo afectado no se ha reiniciado después de haber sido infectado. La memoria asociada no ha sido asignada y borrada por algún otro proceso. “Para poder trabajar, su computadora no debe haber sido reiniciada después de haber sido infectada. Por favor, tenga en cuenta que necesita algo de suerte para que esto funcione (ver más abajo), y por lo tanto puede que no funcione en todos los casos!”, Dice Guinet. “Esto no es realmente un error de los autores de ransomware, ya que utilizan correctamente la API de Windows Crypto.”
Mientras que WannaKey sólo extrae números primos de la memoria del ordenador afectado, la herramienta sólo puede ser utilizada por aquellos que pueden utilizar esos números primos para generar la clave de descifrado manualmente para descifrar los archivos de su PC infectada con WannaCry.
WanaKiwi: WannaCry Ransomware herramienta de descifrado.
Una buena noticia es que otro investigador de seguridad, Benjamin Delpy, desarrolló una herramienta fácil de usar llamada “WanaKiwi” basada en el hallazgo de Guinet, que simplifica todo el proceso de descifrado del archivo infectado por WannaCry. Todas las víctimas tienen que hacer es descargar la herramienta WanaKiwi de Github y ejecutarlo en su computadora afectada de Windows usando la línea de comandos (cmd).
WanaKiwi trabaja en Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008, confirmó Matt Suiche de la firma de seguridad Comae Technologies, quien también ha proporcionado algunas demostraciones que muestran cómo usar WanaKiwi para descifrar sus archivos.
Aunque la herramienta no funcionará para todos los usuarios debido a sus dependencias, todavía da cierta esperanza a las víctimas de WannaCry de obtener sus archivos bloqueados de nuevo gratis incluso desde Windows XP, la envejecimiento, la mayor parte de la versión no compatible del sistema operativo de Microsoft.
