Recientemente se ha publicado una herramienta para poder descifrar los archivos cifrados por el ransomware wannacry, pero con una cierta pequeña, y es que se tienen que dar varias condiciones. Si el sistema operativo es Windows XP, Windows Vista, Windows 7, Windows 2003 (32 bits) y Windows 2008 y Windows 2008 R2 y además no has reiniciado el equipo desde la infección, todavía es posible que recuperes tu información si no disponías de copias de seguridad y sin tener que pagar a los ciberdelincuentes.
Benjamin Delpy ha publicado una herramienta llamada Wanawiki que es capaz de descifrar los archivos al poder obtener los números primos que se usaron para poder generar la clave de cifrado, que si no has reiniciado todavía se encontrarán en la memoria del equipo infectado. Para ello ha aprovechado un fallo que tiene la API de Windows utilizada para el cifrado de archivos (crypt API) y que almacena temporalmente en memoria los cálculos de cifrado mientras no es reiniciado el equipo y por lo tanto borrada la memoria, en las últimas versiones de Windows este fallo ha sido corregido, y los números primos son borrados de forma correcta sin necesidad de reiniciar el equipo.
Por lo tanto si nos has reiniciado el ordenador y no tienes la última versión de Windows podrás todavía tener una posiblidad de recuperar la información, para ello puedes realizando los siguientes pasos:
Descargar la herramienta wanawiki aquí.
Ejecutar wanawiki.exe que intentará buscar el archivo 00000000.pky o de forma alternativa podrás indicarle el ID del proceso todavía en memoria encargado de la realización del cifrado mediante su número de PID, sino la aplicación buscara en wnry.exe o wcry.exe.
Os dejamos un enlace con la demo del funcionamiento de la aplicación y te deseamos mucha suerte, recordándote que lo más importante para evitar el ransomware es disponer de copias de seguridad actualizadas y supervisadas diariamente
.
Demo funcionamiento WanaKiwi: Herramienta de descifrado del Ransomware Wannacry