Desbloquear Sin Pagar Archivos Infectados Por WannaCry Ransomware

Te ha gustado? Compartelo!Share on Facebook12Pin on Pinterest1Share on Google+2Share on StumbleUpon0Tweet about this on TwitterShare on LinkedIn9

Drien Guinet, un investigador francés de seguridad de Quarkslab, ha descubierto una manera de obtener las claves de cifrado secretas utilizadas por el ransomware de WannaCry de forma gratuita, que funciona en los sistemas operativos Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008.

Como funciona el Ransomware WannaCry

El esquema de cifrado de WannaCry funciona generando un par de claves en la computadora de la víctima que dependen de números primos, una clave “pública” y una clave “privada” para cifrar y descifrar los archivos del sistema, respectivamente.

pagar-ransomware

Para evitar que la víctima acceda a la clave privada y descifrar los archivos bloqueados él mismo, WannaCry borra la clave del sistema, no dejando ninguna opción para que las víctimas recuperen la clave de descifrado excepto pagar el rescate al atacante.

Pero aquí está el truco: WannaCry “no borra los números primos de la memoria antes de liberar la memoria asociada”, dice Guinet.

Sobre la base de este hallazgo, Guinet lanzó una herramienta de descifrado para WannaCry, denominada WannaKey, que básicamente trata de recuperar los dos números primos, utilizados en la fórmula para generar claves de cifrado de la memoria.

“Lo hace al buscarlos en el proceso wcry.exe.Este es el proceso que genera la clave privada RSA. El principal problema es que CryptDestroyKey y CryptReleaseContext no borra los números primos de la memoria antes de liberar la memoria asociada. Dice Guinet

Por lo tanto, esto significa que este método funcionará sólo si:

  • El equipo afectado no se ha reiniciado después de haber sido infectado.
  • La memoria asociada no ha sido asignada y borrada por algún otro proceso.

“Para poder trabajar, su computadora no debe haber sido reiniciada después de haber sido infectada. Por favor, tenga en cuenta que necesita algo de suerte para que esto funcione, y por lo tanto puede que no funcione en todos los casos!”, Dice Guinet.

“Esto no es realmente un error de los autores de ransomware, ya que utilizan correctamente la API de Windows Crypto.”

Mientras que WannaKey sólo extrae números primos de la memoria del ordenador afectado, la herramienta sólo puede ser utilizada por aquellos que pueden utilizar esos números primos para generar la clave de descifrado manualmente para descifrar los archivos de su PC infectada con WannaCry.

Descargar Wannakey para desbloquear archivos cifrado por WannaCry Ransomware

Como era de esperarse, un descubrimiento de este tipo se ha compartido en GitHub. Puedes encontrar el como funciona, como usarlo, y por supuesto los archivos a descargar. Para descargar Wannakey puedes ir al siguiente enlace.

WanaKiwi: WannaCry Ransomware herramienta de descifrado (vídeo)


Una buena noticia es que otro investigador de seguridad, Benjamin Delpy, desarrolló una herramienta fácil de usar llamada “WanaKiwi” basada en el hallazgo de Guinet, que simplifica todo el proceso de descifrado del archivo infectado por WannaCry.

Todas las víctimas tienen que hacer es descargar la herramienta WanaKiwi de Github y ejecutarlo en su computadora afectada de Windows usando la línea de comandos (cmd).

WanaKiwi trabaja en Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008, confirmó Matt Suiche de la firma de seguridad Comae Technologies, quien también ha proporcionado algunas demostraciones que muestran cómo usar WanaKiwi para descifrar sus archivos.

Aunque la herramienta no funcionará para todos los usuarios debido a sus dependencias, todavía da cierta esperanza a las víctimas de WannaCry de desbloquear sin pagar por los archivos cifrados por WannaCry incluso desde Windows XP.

Resumen
Fecha Publicación
Resumen articulo
Con esta útil herramienta desarrollada por un investigador francés de seguridad de Quarkslab, puedes desbloquear sin pagar archivos infectados por ...
Calificación
51star1star1star1star1star

Deja un comentario