Esto ha sido descubierto por Adrien Guinet, investigador en la empresa de ciberseguridad francesa Quarkslab, quien ha liberado un software que le ha permitido recuperar la clave secreta de descifrado para restaurar una computadora con Windows XP en su laboratorio. Este software todavía no ha sido probado a fondo, así que no se sabe si puede ser aplicado sobre la gran variedad de computadoras que funcionan con el vetusto sistema operativo de Microsoft, e incluso en caso de funcionar, podría haber limitaciones.

La repercusión de esta técnica de recuperación puede verse limitada debido a que Windows XP no parece haberse visto tan afectado por el gran brote de WannaCry surgido la semana pasada. A pesar de que el ransomware es compatible con dicho sistema, su mecanismo de dispersión parece que no. Por otro lado, Matt Suiche, un investigador de Comae Technologies, ha reportado a través de Twitter que no fue capaz de ejecutar la herramienta de Guinet con éxito.

WannaCry utiliza la API Criptográfica de Microsoft incluida en el propio Windows para manejar muchas de sus funciones, incluyendo la generación de la clave de cifrado y descifrado de los ficheros. Después de crear la clave de seguridad, la API se encarga de borrarla en la mayoría de versiones de Windows.

Aparentemente se ha descubierto una limitación en Windows XP que evita el borrado de la clave. Como resultado, los números primos utilizados para generar la clave secreta de WannaCry permanecen intactos en la memoria del ordenador mientras el sistema siga encendido tras la infección. La herramienta de Guinet, cuyo nombre es Wannakey, fue capaz de examinar con éxito la memoria de una máquina XP infectada y extraer los valores las variabes p y q en las que se basa la clave secreta. A partir de ahí, según ha publicado en Twitter, el investigador fue capaz de extraer la clave.

Sobre WannaCry no hay nada realmente destacable, ya que se trata de un ransomware estándar. Lo que ha convertido a este malware en algo realmente peligroso ha sido su mecanismo de esparcimiento, el cual está basado en una herramienta de hacking de la NSA llamada EternalBlue y que fue filtrada por Shadow Brokers.

El descubrimiento de Adrien Guinet ha podido abrir la puerta al descifrado gratuito y total de WannaCry, aunque todavía es pronto para cantar victoria. Por otro lado, esto no es excusa para bajar la guardia bajo ningún concepto.

Fuente: ArsTechnica | muyseguridad