¡SORTEOS! Sorteamos LG G6, OnePlus 5T y pack de productos Aukey [ Ver sorteos ]

Los PCs Windows XP infectados por WannaCry pueden ser descifrados sin pagar el rescate

Los dueños de algunos ordenadores Windows XP infectados por el ransomware Wcry podrán recuperar sus datos sin pagar los cerca de 300 euros que piden los delincuentes, según ha explicado un investigador.

Adrien Guinet, un investigador de la compañía Quarkslab, ha publicado un software que le ha permitido recuperar la clave secreta de cifrado de un ordenador XP infectado de su laboratorio y, por tanto, restaurarlo.

El software todavía no ha sido probado para comprobar si funciona en todos los ordenadores XP. Incluso si fuera así, esta técnica tampoco será de gran ayuda ya que los ordenadores Windows XP no fueron objetivo de la infección de la semana pasada por WCry. Aún con todo, puede ser útil para usuarios de XP que se enfrenten a otros ataques de este mismo ransomware.

“Este software solo ha sido probado y sabemos que funciona bajo Windows XP,”  ha escrito en una nota que acompaña a su aplicación, a la que llama Wannakey. “Para funcionar, tu ordenador no puede haber sido reiniciado desde que fue infectado. También debes tener en cuenta que necesitas algo de suerte para que funcione, así que puede que no funcione en todos los casos.”

WCry, que también se conoce bajo el nombre de WannaCry, cifra todos los ficheros del ordenador después de infectar un ordenador y solicita a los dueños pagar un rescate de unos 300 euros para obtener las claves de cifrado necesarias para restaurar un ordenador a un funcionamiento normal.

En ransomware utiliza la API de Criptografía de Microsoft incluido en Windows para controlar muchas de sus funciones, lo que incluye generar la clave para cifrar y descifrar ficheros. Tras crear y proteger la clave, el interfaz elimina la clave en la mayoría de las versiones de Windows.

Sin embargo, una limitación de Windows XP puede evitar el borrado de la clave de la memoria en esa versión de Windows. Como resultado, los números primos utilizados para generar la clave secreta de WCry permanecen en la memoria del ordenador hasta que el PC se apague. Wannakey es capaz de escudriñar la memoria de una máquina XP infectada y extraer las variables pen las que se basa la clave secreta.

“Si tienes suerte y la memoria asociada no ha sido reasignada y borrada, estos números primos pueden estar todavía en memoria,” escribe Ginet.

El investigador también ha escrito en Twitter: “Conseguí terminar el proceso completo de descifrado y confirmo que, en este caso, la clave privada puede ser recuperada en un sistema XP” Ha incluido la captura de pantalla que encabeza este artículo.

Por el momento, no hay indicios de que la limitación que permitió a Guinet recuperar la clave del ransomware WCry esté presente en versiones posteriores de Windows. Eso significa que las víctimas de WCry en otras versiones no tienen forma conocida de descifrar sus datos aparte de pagar el rescate.

En todo caso, el descubrimiento de Guinet ofrece esperanza. Cualquiera que haya sido infectado por WCry debería evitar reiniciar sus ordenadores y esperar a los avances en la investigación.