Un investigador de seguridad encontró una manera de recuperar las claves de cifrado utilizadas por el ransomware WannaCrypt (también conocido como WannaCry) sin pagar el rescate de $ 300. Esto es importante porque WannaCry utiliza las herramientas criptográficas integradas de Microsoft para hacer lo que tiene que hacer. Si bien Windows XP no se vio muy afectado por el ciberataque, la siguiente técnica puede aplicarse en el caso de otras infecciones de ransomware.
Wcry, ahora disponible en Windows XP
La herramienta se llama Llorar y extrae la clave directamente de la memoria del sistema afectado. Esta solución está disponible actualmente para Windows XP y solo cuando la PC en cuestión no se ha reiniciado o su memoria se ha sobrescrito..
Wcry fue desarrollado por Adrien Guinet, un investigador francés, que publicó la solución en GitHub de forma gratuita.
Cómo funciona
Según Guinet, el software solo se ha probado en Windows XP y funciona perfectamente. La nota que se encuentra junto a la aplicación también dice que "para que funcione, su computadora no debe haber sido reiniciada después de haber sido infectada. Tenga en cuenta también que necesita algo de suerte para que esto funcione (ver más abajo), por lo que es posible que no funcione en todos los casos!"
En Windows XP, hay una falla que evita el borrado de las claves de la memoria y esta falla no existe en los sistemas operativos más nuevos. Es importante que los números primos todavía estén en la memoria..
Guinet dice que:
Este software permite recuperar los números primos de la clave privada RSA que utiliza Wanacry. Lo hace buscándolos en el proceso wcry.exe. Este es el proceso que genera la clave privada RSA. El problema principal es que CryptDestroyKey y CryptReleaseContext no borran los números primos de la memoria antes de liberar la memoria asociada..
Como puede utilizar la herramienta para más infecciones de ransomware, resultará muy útil para proporcionar soporte técnico..
HISTORIAS RELACIONADAS PARA VER:
- Los creadores de WannaCry amenazan con lanzar más malware para Windows 10
- Adylkuzz, otro ciberataque de Windows a gran escala, está en camino
- Cómo mantenerse seguro en línea después de los ataques de WannaCrypt
- La seguridad cibernética
- Secuestro de datos