https://www.adslzone.net/2017/05/19/un-fallo-permite-eliminar-el-ransomware-wannacry-en-windows-xp-pero-no-en-windows-10/A pesar de que se han tomado muchas medidas para prevenir infecciones con
WannaCry, y puedes utilizar otras muchas para
protegerte de ataques de ransomware, los ordenadores que son infectados de momento poco pueden hacer para
recuperar sus archivos, y pagar a los atacantes no es una solución, pues no ofrecen la clave para descifrar los archivos.Las empresas de seguridad intentan romper el cifradoPoco a poco se van encontrando herramientas para conseguir descifrar los archivos cifrados por el ransomware. La propia Telefónica publicó ayer una herramienta llamada “
Telefónica WannaCry File Restore”, que consiste en un
script que permite recuperar los archivos si el ataque del ransomware no ha finalizado, existiendo todavía una copia temporal de los archivos que van a pasar a quedar cifrados. El propio Chema Alonso afirma que la semana que viene lanzarán una versión ejecutable de la herramienta para Windows.
A pesar de que el cifrado de muchos ransomware es deficiente y acaba siendo vulnerado, de momento el de WannaCry
no ha podido ser solucionado de manera directa. Esta herramienta de Telefónica es un primer intento, y ahora una segunda herramienta publicada permite ir más allá, incluso en Windows XP,
aprovechándose de un fallo no existente en Windows 10.
El hecho de que el ransomware afectara a Windows XP a través de una vulnerabilidad no parcheada hizo que Microsoft tuviera que
lanzar excepcionalmente un parche, a pesar de que
no le correspondía por haber dejado de soportar el sistema operativo hace 3 años. Por desgracia, son
muchas las empresas que todavía lo utilizan, como los hospitales.
Hay un nuevo WannaCry haciendo más dinero que el original Los números primos generados en la memoria son la “clave”Un investigador francés de la empresa Quarkslab ha creado una solución que permite
recuperar la clave de descifrado en ordenadores infectados. El sistema de cifrado de WannaCry funciona de la siguiente manera: primero se generan
dos claves en el ordenador de la víctima basadas en números primos. Una de esas claves es pública, y la otra es privada, y sirven para
cifrar y descifrar los archivos del sistema, respectivamente. A pesar de que las claves se eliminan del ordenador una vez son generadas, y sólo quedan en propiedad del atacante,
los números primos generados sí se quedan en la memoria del ordenador.
Gracias a ello, han conseguido crear la herramienta
WannaKey, la cual obtiene esos dos números primos utilizados en la fórmula para generar las claves de cifrado desde la memoria. Al obtenerlo de ahí, la herramienta
sólo funciona si el ordenador no ha sido reiniciado después de haber sido infectado, así como si la memoria no ha sido realocada y/o eliminada al abrir otro proceso.
Otro desarrollador ha creado la herramienta
WanaKiwi basada en WannaKey, con el fin de simplificar el proceso. La herramienta es compatible con Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008.
En Windows 10 no se puede recuperar la clave porque el sistema hace un borrado de memoria.La frase “It’s not a bug; it’s a feature!” pocas veces ha tenido más sentido.
