Gracias al trabajo a contrarreloj de un grupo de investigadores franceses, una parte de los infectados por el ransomware Wanacrypt/cry podrán recuperar sus archivos sin tener que pagar a los ciberdelincuentes. La herramienta ha recibido el nombre de wanakiwi y ha sido testeada y confirmada por diversas fuentes, entre ellas la Europol.
A la herramienta Wannakey aparecida unas horas antes que posibilitaba a los afectados en Windows XP recuperar sus ficheros ahora se une wanakiwi, que llega para inicialmente ayudar a los afectados en Windows 7,que suponen el 98% del total de afectados y en Windows Server 2003. En estos dos sistemas operativos (versiones x86) se ha testeado la herramienta con éxito. Además, se espera, aunque no se ha testeado, que la solución funcione en otras versiones de Windows como Vista, Server 2008 y Server 2008 R2.
Basada en Wannakey, wanakiwi aprovecha también las deficiencias de la API criptográfica de Microsoft para conseguir recuperar las claves utilizadas para el encriptado de los ficheros. El ransomware al finalizar el proceso de encriptado de los ficheros eliminaba la clave de la memoria, pero los números utilizados para generar esta clave permanecen en memoria y es posible recuperarlos si no se ha apagado ni reiniciado la máquina y si la localización de memoria no ha sido sobreescrita.
Wanakiwi es capaz de recuperar los valores de las variables p y q que el ransomware ha utilizado para regenerar la clave privada y de esta manera reconstruir la clave. Una vez conseguido esto desencripta automáticamente todos los ficheros afectados por el ransomware.
Descarga Wanakiwi aquí
De todas maneras como decíamos los requerimientos para que esta utilidad funcione son concretos, no haber apagado, no haber reiniciado y no haber sobreescrito estas localizaciones de memoria. Las víctimas del ransomware que no cumplan con estos requisitos difícilmente podrán recuperar sus archivos sin pagar a los ciberdelincuentes, cosa que desde cyberseguridad.net desaconsejamos totalmente ya que primero significa alimentar a criminales y segundo es posible que tras pagar sigamos sin los archivos..
Fuente Matt Suiche
Fuente Europol
