viernes, 19 de mayo de 2017

Los PCs Windows XP infectados por WannaCry pueden ser descifrados sin pagar el rescate


NOTICIA DE TEKNOFILO.COM


Los dueños de algunos ordenadores Windows XP infectados por el ransomware Wcry podrán recuperar sus datos sin pagar los cerca de 300 euros que piden los delincuentes, según ha explicado un investigador.

Adrien Guinet, un investigador de la compañía Quarkslab, ha publicado un software que le ha permitido recuperar la clave secreta de cifrado de un ordenador XP infectado de su laboratorio y, por tanto, restaurarlo.

El software todavía no ha sido probado para comprobar si funciona en todos los ordenadores XP. Incluso si fuera así, esta técnica tampoco será de gran ayuda ya que los ordenadores Windows XP no fueron objetivo de la infección de la semana pasada por WCry. Aún con todo, puede ser útil para usuarios de XP que se enfrenten a otros ataques de este mismo ransomware.

“Este software solo ha sido probado y sabemos que funciona bajo Windows XP,” ha escrito en una nota que acompaña a su aplicación, a la que llama Wannakey. “Para funcionar, tu ordenador no puede haber sido reiniciado desde que fue infectado. También debes tener en cuenta que necesitas algo de suerte para que funcione, así que puede que no funcione en todos los casos.”

WCry, que también se conoce bajo el nombre de WannaCry, cifra todos los ficheros del ordenador después de infectar un ordenador y solicita a los dueños pagar un rescate de unos 300 euros para obtener las claves de cifrado necesarias para restaurar un ordenador a un funcionamiento normal.

En ransomware utiliza la API de Criptografía de Microsoft incluido en Windows para controlar muchas de sus funciones, lo que incluye generar la clave para cifrar y descifrar ficheros. Tras crear y proteger la clave, el interfaz elimina la clave en la mayoría de las versiones de Windows.

Sin embargo, una limitación de Windows XP puede evitar el borrado de la clave de la memoria en esa versión de Windows. Como resultado, los números primos utilizados para generar la clave secreta de WCry permanecen en la memoria del ordenador hasta que el PC se apague. Wannakey es capaz de escudriñar la memoria de una máquina XP infectada y extraer las variables p y q en las que se basa la clave secreta.

“Si tienes suerte y la memoria asociada no ha sido reasignada y borrada, estos números primos pueden estar todavía en memoria,” escribe Ginet.

El investigador también ha escrito en Twitter: “Conseguí terminar el proceso completo de descifrado y confirmo que, en este caso, la clave privada puede ser recuperada en un sistema XP” Ha incluido la captura de pantalla que encabeza este artículo.

Por el momento, no hay indicios de que la limitación que permitió a Guinet recuperar la clave del ransomware WCry esté presente en versiones posteriores de Windows. Eso significa que las víctimas de WCry en otras versiones no tienen forma conocida de descifrar sus datos aparte de pagar el rescate.

En todo caso, el descubrimiento de Guinet ofrece esperanza. Cualquiera que haya sido infectado por WCry debería evitar reiniciar sus ordenadores y esperar a los avances en la investigación.

|----------|

The owners of some Windows XP computers infected by ransomware Wcry will be able to recover their data without paying the 300 euros that the criminals ask for, according to a researcher explained.

Adrien Guinet, a researcher with the company Quarkslab, has published software that has allowed him to recover the secret encryption key of an infected XP computer from his laboratory and, therefore, restore it.

The software has not yet been tested to see if it works on all XP computers. Even if this were so, this technique will not be very helpful either, since Windows XP computers were not targeted by last week's WCry infection. Even with everything, it can be useful for XP users who are facing other attacks of this same ransomware.

"This software has only been tested and we know it works under Windows XP," he wrote in a note accompanying his application, which he calls Wannakey. "In order to work, your computer may not have been restarted since it was infected. You should also keep in mind that you need some luck to work, so it may not work in all cases. "

WCry, also known as WannaCry, encrypts all computer files after infecting a computer and asks the owners to pay a ransom of about 300 euros to obtain the encryption keys needed to restore a computer to normal operation .

In ransomware uses the Microsoft Cryptography API included in Windows to control many of its functions, which includes generating the key to encrypt and decrypt files. After creating and protecting the key, the interface removes the key in most versions of Windows.

However, a Windows XP limitation may prevent the memory key from being deleted in that version of Windows. As a result, the prime numbers used to generate the WCry secret key remain in the computer's memory until the PC powers down. Wannakey is able to scrutinize the memory of an infected XP machine and extract the variables p and q on which the secret key is based.

"If you're lucky and the associated memory has not been reassigned and erased, these prime numbers may still be in memory," writes Ginet.

The researcher has also written on Twitter: "I managed to complete the complete decryption process and confirm that, in this case, the private key can be recovered on an XP system." It has included the screenshot that heads this article.

At the moment, there is no indication that the limitation that allowed Guinet to recover the ransomware WCry key is present in later versions of Windows. That means that the victims of WCry in other versions have no known way to decrypt their data apart from paying the ransom.

In any case, the discovery of Guinet offers hope. Anyone who has been infected by WCry should avoid restarting their computers and wait for progress in the investigation.

No hay comentarios: