Investigadores de Francia han liberado una serie de herramientas de software que -según afirman- pueden restaurar algunos de los archivos cifrados por el ataque global cibernético, el cual funcionaba como ransomware, es decir, pidiendo rescate por permitirle a los usuarios recuperar sus archivos.
Los investigadores dijeron, sin embargo, que las herramientas no son perfectas y que solamente funcionan con computadoras que no se re arrancaron después del ataque (cosa poco probable ya para estas fechas). Probablemente -si no se quiere pagar por los archivos- la única solución sea sacar los respaldos correspondientes. No parece de hecho haber una mejor solución al problema sin tener que pagar la extorsión.
El desarrollo llegó el viernes pasado, la fecha impuesta por los cibercriminales para pagar el rescate o duplicar el costo del mismo. Hasta el viernes, las tres cuentas que recolectaban los Bitcoins llegaron a un poco menos de 100 mil dólares, una cantidad menor si se considera que el ataque fue global y que infecto a unos 150 países, según se ha afirmado.
Los investigadores Adrien Guinet, Matthieu Suiche y Benjamin Delp, trabajaron de manera separada para hallar formas de descifrar los archivos cifrados y así evitar pagar el rescate pedido por los autores del malware WannaCry.
En su investigación, Guinet, quien trabaja para la firma parisina Quarkslab, dijo que el software probado sólo funciona bajo Windows XP. Añadió que el software ayuda a recuperar los números primos de la llave privada RSA creada por el propio malware.
La idea de Guinet fue muy bien acogida y muchos otros empezaron a ver la manera de usarla en otros sistemas operativos, incluso en Windows 7 o 10. Chris Wysopal, de la firma Veracode, dijo que después del ataque de ransomware, los investigadores infectaron algunas de sus propias máquinas para ver si había alguna clave que se hubiese dejado en la computadora infectada. Aparentemente esto ocurrió en algunos sistemas de Windows.
Todo parece indicar que los creadores del malware usaron un API para cifrar información y que esta biblioteca deja en alguna parte de la memoria los datos del cifrado. Sin embargo, el re arrancar la máquina o apagarla y prenderla hace que esta información desaparezca de la memoria y entonces la recuperación de los datos parece imposible.
Referencias: Phys.org