Dos herramientas que pueden desencriptar los archivos cifrados tras la activación del ransomware WannaCry, que tanto revuelo causo y que ya parece mayormente olvidado por el gran público.
El ransomware WannaCry ha provocado la histeria colectiva, no tanto por su potencia, sino por su rapidez en la infección. Este malware posiblemente haya sido uno de los más rápidos en actuar y expandirse hasta el momento, afectando a máquinas de todo el planeta, centrándose sobre todo en empresas e instituciones públicas. Debemos recordar que después de Telefónica, la siguiente gran infección detectada fue en la red de sanidad de Reino Unido.
Durante estos días hemos conocido que el principal problema ha sido el sistema operativo, ya que al parecer el 98% de los equipos utilizaba Windows 7 o inferior, lo cual deja claro que las empresas e instituciones no se preocupan por la seguridad y no hacen correctamente su trabajo, actualizando los sistemas como es debido. Microsoft lanzo un parche y posteriormente ha lanzado un segundo parche destinado a Windows XP. Hasta el momento las únicas soluciones posibles eran el pago del rescate, que era ineficiente, ya que no se conoce de ninguno de los que ha pagado, ha recuperado sus datos o acudir a un experto que descifre la clave de cifrado y solvente el sistema.
Concretamente tenemos dos opciones, una es una herramienta open Source denominada WannaKey y el autor de Mimikatz, Benjamin Delphy conocido también como @gentilkiwi ha publicado una herramienta denominada Wanakiwi. Estas dos herramientas se suman a las soluciones de antimalware que ya implementan herramientas para la detección previa y el bloqueo del equipo. Cada una de las herramientas ofrece una opción o utilidad diferentes.
WannaKey
La herramienta WannaKey permite recuperar los ficheros de manera completa, pero no hay una seguridad completa de que esto suceda, ya que para que pueda descifrar los archivos, se deben dar una serie de condiciones muy concretas, las cuales se explican en la web de Github de WannaKey. Concretamente, ‘este software solo ha sido probado y funciona bajo Windows XP, para que trabaje en su equipo no debe haber sido reiniciado después de ser infectado2El desarrollador del mismo, Adrien Guinet explica que los afectados tienen suerte de que parte de la memoria no ha sido recolocada ni borrada y que de este modo es posible que se puedan descifrar los archivos comprometidos.
WannaKiwi
Esta solución permite mediante un fallo en la API de encriptado del ransomware en Windows, obteniéndose la memoria de números primos utilizados para el cálculo de la clave privada, haciendo que esta pueda volver a calcularse. Es fundamental también en este caso no apagar el equipo infectado, para evitar asi perder los datos de la memoria fundamentales para la restauración.
Inicialmente se había detectado el fallo en Windows XP (como en la solución anterior), pero este fallo también se detecta en Windows 7. «Después de realizar pruebas adicionales con Benjamin, nos dimos cuenta de que el leak de los números primos en el Crypt API de Microsoft todavía estaba presente en Windows 7.»
Según los datos que tenemos, la herramienta funcionara en Windows XP y Windows 7, además de en Windows 2003 x86, Vista, 2008 y 2008 R2. Sobre las otras versiones no tenemos datos fiables. Al parecer, en las últimas versiones de números primos, estos son borrados de manera conecta. Si queréis descargarla, por seguridad, os dejamos el enlace directo para que os podáis hacer con ella.
