WannaKey funcionará correctamente si el equipo infectado no se ha reiniciado

El ransomware WannaCry ha infectado miles de sistemas informáticos en todo el mundo, pero Adrien Guinet, investigador de seguridad de Quarkslab, ha encontrado una manera de recuperar las claves desconocidas de cifrado utilizadas por el ransomware.

Adrien dijo que, para recuperar las claves, la computadora no debe haber sido reiniciada después de ser infectada. La herramienta permite recuperar los números primos de la clave privada RSA que utiliza Wannacry.

Lo hace mediante la búsqueda de ellos en el proceso "wcry.exe. Este es el proceso que genera la clave privada RSA. El problema principal es que CryptDestroyKey y CryptReleaseContext no borran los números primos de la memoria antes de liberar la memoria asociada.

"Tengo que terminar el proceso completo de descifrado, pero confirmo que, en este caso, la clave privada puede recuperarse en un sistema XP".

Adrien creó una herramienta de descifrado de WannaCry llamada WannaKey.

El proceso de desencriptación funcionará correctamente si el equipo infectado no se ha reiniciado después de haber sido infectado y la memoria asociada no se ha asignado y borrado.

Otro investigador de seguridad (Benjamin Delpy) publicó una herramienta llamada "WanaKiwi", basada en el descubrimiento de Adrien, que simplifica todo el proceso.

Los usuarios infectados deben descargar la herramienta WannaKey o la herramienta WannaKiwi desde Github y probarlas en el Windows afectado.

En España el responsable del equipo de seguridad de Teléfonica, Chema Alonso, escribía ayer en su blog instrucciones para Cómo recuperar ficheros afectados por WannaCry. Telefónica WannaCry File Restorer.

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete

Más leído