Un investigador de seguridad encontró una manera de recuperar las claves de cifrado utilizadas por el ransomware WannaCrypt (AKA WannaCry) sin pagar el rescate de $ 300. Esto es grande porque WannaCry utiliza las herramientas criptográficas integradas de Microsoft para hacer lo que necesita hacer. Si bien Windows XP no se vio ampliamente afectado por el ciberataque, la siguiente técnica puede aplicarse en el caso de otras infecciones de ransomware.

Wcry, ahora disponible en Windows XP

La herramienta se llama Wcry y extrae la clave de la memoria del sistema afectado. Esta solución está actualmente disponible para Windows XP y solo cuando la PC en cuestión no se ha reiniciado o se ha sobrescrito su memoria.

Wcry fue desarrollado por Adrien Guinet, un investigador francés, que publicó la solución en GitHub de forma gratuita.

Cómo funciona

Según Guinet, el software solo se ha probado con Windows XP y funciona perfectamente. La nota que se encuentra al lado de la aplicación también dice que “ para que funcione, su computadora no debe haberse reiniciado después de haberse infectado. Tenga en cuenta también que necesita algo de suerte para que esto funcione (ver más abajo), ¡por lo que podría no funcionar en todos los casos!"

En Windows XP, hay una falla que impide el borrado de las claves de la memoria y esta falla no existe en los sistemas operativos más nuevos. Es importante que los números primos todavía estén en la memoria.

Guinet dice que:

Este software permite recuperar los números primos de la clave privada RSA que utiliza Wanacry. Lo hace buscándolos en el proceso wcry.exe. Este es el proceso que genera la clave privada RSA. El problema principal es que CryptDestroyKey y CryptReleaseContext no borran los números primos de la memoria antes de liberar la memoria asociada.

Como puede usar la herramienta para más infecciones de ransomware, demostrará ser muy útil para proporcionar soporte técnico.