Un fallo permite eliminar el ransomware WannaCry en Windows XP pero no en Windows 10

A pesar de que se han tomado muchas medidas para prevenir infecciones con WannaCry, y puedes utilizar otras muchas para protegerte de ataques de ransomware, los ordenadores que son infectados de momento poco pueden hacer para recuperar sus archivos, y pagar a los atacantes no es una solución, pues no ofrecen la clave para descifrar los archivos.

Las empresas de seguridad intentan romper el cifrado

Poco a poco se van encontrando herramientas para conseguir descifrar los archivos cifrados por el ransomware. La propia Telefónica publicó ayer una herramienta llamada “Telefónica WannaCry File Restore”, que consiste en un script que permite recuperar los archivos si el ataque del ransomware no ha finalizado, existiendo todavía una copia temporal de los archivos que van a pasar a quedar cifrados. El propio Chema Alonso afirma que la semana que viene lanzarán una versión ejecutable de la herramienta para Windows.

A pesar de que el cifrado de muchos ransomware es deficiente y acaba siendo vulnerado, de momento el de WannaCry no ha podido ser solucionado de manera directa. Esta herramienta de Telefónica es un primer intento, y ahora una segunda herramienta publicada permite ir más allá, incluso en Windows XP, aprovechándose de un fallo no existente en Windows 10.

El hecho de que el ransomware afectara a Windows XP a través de una vulnerabilidad no parcheada hizo que Microsoft tuviera que lanzar excepcionalmente un parche, a pesar de que no le correspondía por haber dejado de soportar el sistema operativo hace 3 años. Por desgracia, son muchas las empresas que todavía lo utilizan, como los hospitales.

Los números primos generados en la memoria son la “clave”

Un investigador francés de la empresa Quarkslab ha creado una solución que permite recuperar la clave de descifrado en ordenadores infectados. El sistema de cifrado de WannaCry funciona de la siguiente manera: primero se generan dos claves en el ordenador de la víctima basadas en números primos. Una de esas claves es pública, y la otra es privada, y sirven para cifrar y descifrar los archivos del sistema, respectivamente. A pesar de que las claves se eliminan del ordenador una vez son generadas, y sólo quedan en propiedad del atacante, los números primos generados sí se quedan en la memoria del ordenador.

Gracias a ello, han conseguido crear la herramienta WannaKey, la cual obtiene esos dos números primos utilizados en la fórmula para generar las claves de cifrado desde la memoria. Al obtenerlo de ahí, la herramienta sólo funciona si el ordenador no ha sido reiniciado después de haber sido infectado, así como si la memoria no ha sido realocada y/o eliminada al abrir otro proceso.

Otro desarrollador ha creado la herramienta WanaKiwi basada en WannaKey, con el fin de simplificar el proceso. La herramienta es compatible con Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008. En Windows 10 no se puede recuperar la clave porque el sistema hace un borrado de memoria.

La frase “It’s not a bug; it’s a feature!” pocas veces ha tenido más sentido.

Fuente: Ars Technica | adslzone