#Wanakiwi, una herramienta capaz de descifrar los archivos cifrados por WannaCry (Windows XP a 7 no reiniciados)

¡Atención, si has sido infectado por WannaCry NO REINICIES la máquina! El famoso autor de Mimikatz, Benjamin Delpy‏ aka @gentilkiwi, ha publicado la herramienta Wanakiwi que es capaz de descifrar los archivos sin pagar el chantaje...

Hay un fallo en la cripto-API de Windows por el que si se obtienen de la memoria los números primos usados para calcular la clave privada esta puede volver a calcularse. Por eso es tan importante no apagar el equipo infectado, para no perder los datos de la memoria.

En principio el fallo parecía que estaba sólo en Windows XP, pero al parecer afecta a Windows 7 también:

"Después de realizar pruebas adicionales con Benjamin, nos dimos cuenta de que el leak de los números primos en el Crypt API de Microsoft todavía estaba presente en Windows 7. \o/"

Esto significa por lo tanto que la herramienta funcionará desde XP a 7, incluyendo Windows 2003 (x86 confirmado), Vista y 2008 y 2008 R2. Lamentablemente en las últimas versiones los números primos son borrados correctamente (CryptReleaseContext).

Anteriormente se publicó otra herramienta similar, Wannakey, pero requería una aplicación distinta para transformar esos bits en la clave secreta necesaria para descifrar los archivos. Wanakiwi parece más efectiva y ha sido validada por la Europol. Así que si no has reiniciado el equipo (o la memoria no ha sido sobrescrita) y no tienes la última versión de Windows todavía tienes una esperanza:

- Descarga wanakiwi aquí.
- Ejecuta wanakiwi.exe y automáticamente buscará el archivo 00000000.pky. Opcionalmente puedes indicar el PID (Process ID). Si no se indica, por defecto automáticamente buscará en wnry.exe o wcry.exe.
- Cruza los dedos y suerte!

Demo:

Fuente: WannaCry — Decrypting files with WanaKiwi + Demos
Github: https://github.com/gentilkiwi/wanakiwi/releases

5 comentarios :

  1. Traigo una duda. Si pongo el equipo a hibernar en el momento de la infección, ¿se podría obtener la clave de hiberfile.sys?

    ResponderEliminar
    Respuestas
    1. En principio al hibernar se copia todo lo de la memoria al disco (hiberfile.sys) por lo que en teoría se debería. Otra cosa sería adaptar la herramienta para que leyera del fichero. Saludos.

      Eliminar
    2. Claro, me refería al margen del wanakiwi. Además estoy seguro de que hay algún script para buscar los restos del CryptAPI de Windows por el tema de los EvilMaid.
      Gran blog. Sois la hostia.

      Eliminar
    3. Gracias :)

      No he encontrado ninguna herramienta que lea directamente del hiberfile.sys para obtener la key, pero en principio al deshibernar la máquina se volvería a tener la memoria "intacta" y podría usarse Wanakiki. De hecho, en las FAQs de la propia herramienta lo comentan:

      What about hibernated machines ?

      Yes, when you hibernate your machine it actually saves the state of memory on disk which allows to keep the process memory state. In those scenarios, a machine which has been hibernated for multiple days has her memory state intact and identical to the day it hibernated. Which actually raises your chances of file recovery.

      Saludos,

      Eliminar
  2. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar