Un fallo permite eliminar el ransomware WannaCry en Windows XP pero no en Windows 10

Escrito por Alberto García
Software

A pesar de que se han tomado muchas medidas para prevenir infecciones con WannaCry, y puedes utilizar otras muchas para protegerte de ataques de ransomware, los ordenadores que son infectados de momento poco pueden hacer para recuperar sus archivos, y pagar a los atacantes no es una solución, pues no ofrecen la clave para descifrar los archivos.

Las empresas de seguridad intentan romper el cifrado

Poco a poco se van encontrando herramientas para conseguir descifrar los archivos cifrados por el ransomware. La propia Telefónica publicó ayer una herramienta llamada “Telefónica WannaCry File Restore”, que consiste en un script que permite recuperar los archivos si el ataque del ransomware no ha finalizado, existiendo todavía una copia temporal de los archivos que van a pasar a quedar cifrados. El propio Chema Alonso afirma que la semana que viene lanzarán una versión ejecutable de la herramienta para Windows.

windows-xp-ransomware

A pesar de que el cifrado de muchos ransomware es deficiente y acaba siendo vulnerado, de momento el de WannaCry no ha podido ser solucionado de manera directa. Esta herramienta de Telefónica es un primer intento, y ahora una segunda herramienta publicada permite ir más allá, incluso en Windows XP, aprovechándose de un fallo no existente en Windows 10.

El hecho de que el ransomware afectara a Windows XP a través de una vulnerabilidad no parcheada hizo que Microsoft tuviera que lanzar excepcionalmente un parche, a pesar de que no le correspondía por haber dejado de soportar el sistema operativo hace 3 años. Por desgracia, son muchas las empresas que todavía lo utilizan, como los hospitales.

Los números primos generados en la memoria son la “clave”

Un investigador francés de la empresa Quarkslab ha creado una solución que permite recuperar la clave de descifrado en ordenadores infectados. El sistema de cifrado de WannaCry funciona de la siguiente manera: primero se generan dos claves en el ordenador de la víctima basadas en números primos. Una de esas claves es pública, y la otra es privada, y sirven para cifrar y descifrar los archivos del sistema, respectivamente. A pesar de que las claves se eliminan del ordenador una vez son generadas, y sólo quedan en propiedad del atacante, los números primos generados sí se quedan en la memoria del ordenador.

wannakey

Gracias a ello, han conseguido crear la herramienta WannaKey, la cual obtiene esos dos números primos utilizados en la fórmula para generar las claves de cifrado desde la memoria. Al obtenerlo de ahí, la herramienta sólo funciona si el ordenador no ha sido reiniciado después de haber sido infectado, así como si la memoria no ha sido realocada y/o eliminada al abrir otro proceso.

Otro desarrollador ha creado la herramienta WanaKiwi basada en WannaKey, con el fin de simplificar el proceso. La herramienta es compatible con Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008. En Windows 10 no se puede recuperar la clave porque el sistema hace un borrado de memoria.

La frase “It’s not a bug; it’s a feature!” pocas veces ha tenido más sentido.

Fuente > Ars Technica

Continúa leyendo
  • Cantaor de flamenco

    Con esto Microsoft va a conseguir lo que quiere: podernos meter las actualizaciones aún contra nuestra voluntad sin que podamos quitarlo ni con políticas administrativas, con el amparo de las leyes.

    • Hater

      Pues pasate a linux e ya, si tanto te preocupa tener tu pc actualizado.

      • Cantaor de flamenco

        A mí no me tienes que decir qué sistema operativo he de tener. Tengo 3 pcs en casa y 2 servidores, y cada uno tiene el SO que tiene que tener, y las actualizaciones que tienen que tener.

        • Hater

          entonces de que te quejas? microsoft como empresa privada que es aplica las políticas que quiere, sino te gustan, pues no uses los servicios de tal empresa, es que no entiendo la manía de quejarse por todo, las cosas son sencillas.

        • Alberto Velez

          Sos como tarado… no te quejes en un lugar publico si no quieres escuchar la solucion mas obvia.

          • Cantaor de flamenco

            Lo último que necesito es el consejo de un sudeiker.

            • Alberto Velez

              Solo estoy apreciando la buena fe de una persona que dio un exelente consejo, en contraste con la estupidez y comentando. En ningun momento estoy dando consejos, esos los cobro

    • Pietre Linux

      Debido a que nadie le hace caso a microsoft sobre las actualizaciones, y que la gente continua siendo tarados informáticos han ocurrido cosas como estas, si no es que te gusten o no las actualizaciones , es que estan para evitar intrusiones, que pena que no haya servido de nada wannacrypt, y que poco pasa para lo que tendría que pasar

  • Pingback: El culpable de la expansión de WannaCry fue Windows 7()