La falla de WannaCry podría ayudar a algunas víctimas a recuperar archivos


Desde el El ransomware WannaCry irrumpió en Internet a fines de la semana pasada, infectó a cientos de miles de máquinas y cerró sistemas críticos que van desde la atención médica hasta el transporte, los criptógrafos han estado buscando una cura. Después de todo, encontrar una laguna en el esquema de cifrado de WannaCry podría descifrar todos esos sistemas sin ningún rescate.

Ahora, un investigador francés dice que ha encontrado al menos un indicio de una cura limitada. La solución aún parece lejos de la panacea que esperaban las víctimas de WannaCry. Pero si las afirmaciones de Adrien Guinet se mantienen, su herramienta podría desbloquear algunas computadoras infectadas que ejecutan versiones anteriores de Windows que, según los analistas, son responsables de parte de la plaga de WannaCry.

Sin bala de plata

El viernes, Guinet publicó «WannaKey» en el repositorio de código fuente abierto de Github. Guinet, que trabaja para la firma de seguridad con sede en París QuarksLab, dice que el software puede extraer rastros de una clave privada de la memoria de una computadora con Windows XP, que luego se puede usar para descifrar archivos en una PC infectada con WannaCry. En menos de 24 horas, otro par de investigadores franceses, Benjamin Delpy y Matt Suiche, dicen que ahora han adaptado la herramienta para que también funcione en Windows 7.

Guinet dice que primero probó con éxito la herramienta de descifrado en varias máquinas de prueba XP que había infectado con WannaCry. Pero advirtió que debido a que estos rastros se almacenan en la memoria volátil, el truco falla si el malware u otro proceso sobrescribe la clave de descifrado persistente, o si la computadora se reinicia en cualquier momento después de la infección.

«Si tiene suerte, puede acceder a partes de la memoria y regenerar una clave», explica Guinet. «Tal vez todavía estará allí y puede recuperar una clave utilizada para descifrar los archivos. No funcionará siempre».

En particular, Guinet advierte a todas las víctimas de XP WannaCry que aún puedan recuperar sus archivos que no toquen la computadora hasta que puedan ejecutar su programa. «¡No reinicies tu computadora y prueba esto!» escribió en un correo electrónico de seguimiento.

El viernes por la mañana, el fundador de Comae Technologies, Matt Suiche, escribió que también probó el método de descifrado de WannaKey y, junto con su colega investigador Benjamin Delpy, incluso lo adaptó a una herramienta llamada WannaKiwi que funciona en Windows 7. Otros investigadores que han analizado el código de WannaKey y las notas de Guinet en Github y Twitter indican que parece estar aprovechando una falla genuina en el cifrado hermético de WannaCry, al menos en las versiones anteriores de Windows. «Parece legítimo», dice Matthew Green, profesor de informática especializado en criptografía en Johns Hopkins. Pero advierte que si funciona para una víctima específica será en parte una cuestión de suerte. «Es una especie de boleto de lotería en este momento», dice Green.

Descifrar al Guardián

El esquema de descifrado de WannaKey aprovecha una peculiaridad extraña en una función criptográfica de Microsoft para eliminar claves de la memoria, una que los propios autores de WannaCry parecen haber pasado por alto. WannaCry funciona generando un par de claves en la máquina de la víctima: una clave «pública» para cifrar sus archivos y una clave «privada» para descifrarlos si, en teoría, la víctima paga el rescate. (No está claro si los descuidados operadores de WannaCry descifran de manera confiable los archivos de las víctimas que pagan). Para evitar que la víctima acceda a esta clave privada y descifre sus archivos, WannaCry también cifra esta clave, haciéndola accesible solo cuando los operadores de ransomware la descifran.

Pero Guinet descubrió que después de que WannaCry cifra la clave privada, una función de eliminación diseñada por Microsoft también borra la versión no cifrada de la memoria de la computadora. Aparentemente, sin que los autores del ransomware lo supieran, esta función en realidad no elimina la clave de la memoria, solo un «identificador» que hace referencia a la clave. «¿Por qué tendrías una función de destrucción de claves que no destruye las claves?» pregunta Mikko Hypponen, investigador de la empresa de seguridad finlandesa F-Secure que también ha revisado el trabajo de Guinet. «Es realmente extraño. Y probablemente por eso nadie más lo ha encontrado antes».

Se desconoce cuántas computadoras con Windows XP y Windows 7 se han encontrado con WannaCry. Al comienzo del brote, Microsoft lanzó un parche para proteger los dispositivos XP, y los investigadores de Cisco dicen que al menos las máquinas con Windows XP con procesadores de 64 bits eran vulnerables al gusano que propagó WannaCry desde el viernes. El flagelo del ransomware ha creado nuevos temores de que las máquinas XP se vean atrapadas en la ola de infecciones, ya que Microsoft no ha brindado soporte al sistema operativo de 16 años desde 2014. El software todavía está muy extendido, es inquietante e incluso se usa en algunos sistemas críticos. como el Servicio Nacional de Salud de Gran Bretaña, una de las víctimas más destacadas de WannaCry.

No importa cuántas computadoras XP o Windows 7 estén infectadas, WannaKey probablemente solo pueda ayudar a una fracción, debido a sus advertencias de reinicio y bloqueo. «Es poco probable que muchas víctimas hayan dejado sus máquinas intactas desde el viernes», dijo Hypponen de F-Secure.

Aún así, cualquier esperanza para las víctimas de WannaCry y sus datos codificados es mejor que nada. E irónicamente, señala Hypponen, el salvador para algunos usuarios adinerados podría ser la idiosincrasia del software de encriptación escrito por Microsoft, la misma compañía a la que se culpa ampliamente por permitir que los usuarios de versiones más antiguas y sin soporte de su sistema ejecuten la explotación vulnerable en el primer lugar . “A menudo no estamos contentos con los errores de Windows”, dice Hypponen. «Pero este error podría ayudar a algunas víctimas de WannaCry a recuperar sus archivos».

Actualizado el 19 de mayo de 2017 a las 10:40 para señalar que Matt Suiche y Benjamin Delpy están probando el método de descifrado y adaptándolo a Windows 7.

Artículos Recientes

Post Relacionados

Leave A Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí