BandaGeek.com es un blog de noticias en tecnología , tutoríales y entretenimiento. Aquí encuentras todo lo relacionado con la vida 2.0

¿PC infectada por WannaCry? Recupera tus archivos sin pagar

La semana pasada el mundo fue victima de uno de los mas grandes ataques a la seguridad de los que se tengan memoria, pues un ataque de Ransomware denominado WannaCry...

0

La semana pasada el mundo fue victima de uno de los mas grandes ataques a la seguridad de los que se tengan memoria, pues un ataque de Ransomware denominado WannaCry tomo desprevenidos a muchos de los principales prestadores de servicios alrededor del mundo y también a muchos particulares que vieron con tristeza como sus archivos eran “secuestrados” por desconocidos y podían liberarlos con una módica cantidad (300 dolares en bitcoins aproximadamente) lo cual se antoja tanto como una patada en la entrepierna.

¿PC infectada por WannaCry? Recupera tus archivos sin pagar

 Si tu PC ha sido infectada por WannaCry, Podrías recuperar tus archivos sin pagar ningún rescate gracias a dos héroes sin capa Adrien Guinet y Benjamin Delpy, el primero un francés que ha descubierto una forma de recuperar las claves de cifrado secretas usadas por el ransomware de WannaCry de forma gratuita, que funciona en los sistemas operativos Windows XP, Windows 7, Windows Vista, Windows Server 2003 y 2008.

Como funciona WannaCry ransomware

El esquema de cifrado de WannaCry funciona generando un par de claves en la computadora de la víctima que dependen de números primos, una clave “pública” y una clave “privada” para cifrar y descifrar los archivos del sistema, respectivamente. Para evitar que la víctima acceda a la clave privada y descifrar los archivos bloqueados él mismo, WannaCry borra la clave del sistema, no dejando ninguna opción para que las víctimas recuperen la clave de descifrado excepto pagar el rescate al atacante.

pero WannaCry “no borra los números primos de la memoria antes de liberar la memoria asociada”, dice Guinet.

Basado en este hallazgo, Guinet lanzó una herramienta de descifrado de WannaCry, llamada WannaKey, que básicamente intenta recuperar los dos números primos, usados en la fórmula para generar claves de cifrado de memoria, y funciona sólo en Windows XP.

“Lo hace al buscarlos en el proceso wcry.exe.Este es el proceso que genera la clave privada RSA.El principal problema es que CryptDestroyKey y CryptReleaseContext no borra los números primos de la memoria antes de liberar la memoria asociada. Dice Guinet

Por lo tanto, esto significa que este método funcionará sólo si:

  • El equipo afectado no se ha reiniciado después de haber sido infectado.
  • La memoria asociada no ha sido asignada y borrada por algún otro proceso.

“Para poder trabajar, su computadora no debe haber sido reiniciada después de haber sido infectada. Por favor, tenga en cuenta que necesita algo de suerte para que esto funcione (ver más abajo), y por lo tanto puede que no funcione en todos los casos!”, Dice Guinet. “Esto no es realmente un error de los autores de ransomware, ya que utilizan correctamente la API de Windows Crypto.”

WannaKey sólo extrae números primos de la memoria del ordenador afectado, la herramienta sólo puede ser utilizada por aquellos que pueden utilizar esos números primos para generar la clave de descifrado manualmente para descifrar los archivos infectados con WannaCry.

La siguiente es otra herramienta que nos ayudara a liberar nuestra maquina…

Fuente The Hacker News
Comentarios
Loading...