¿Derrotado el ransomware WannaCry? No, pero cerca

Desde Francia, especialistas internacionales han avanzado en el proceso de evitar la encriptación de los archivos atacados por el ransomware WannaCry.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Luego de más de diez días del mayor ataque de ransomware hasta, ahora, el humo blanco comienza a salir desde Francia.

Todavía no se puede cantar una victoria absoluta pero hay buenas noticias: pese a que el conteo de ordenadores afectados ya alcanzó los 300.000, investigadores internacionales (con núcleo en Francia) han desarrollado una solución de último minuto que enfrenta el contador para que WannaCry comience a bloquear las computadoras afectadas en las últimas semanas.

Sin embargo, advirtieron que esto será una solución sólo en aquellos equipos que no hayan sido reiniciados desde su infección y en los cuales las víctimas apliquen la solución antes de que WannaCry cumpla su amenaza de bloquear los archivos permanentemente

Según un reporte de la agencia Reuters, el grupo de expertos incluye al reconocido hacker internacional Matthieu Suiche, junto a los expertos Adrien Guinet y Benjamin Delpy quienes reconocieron que este avance no es la solución ideal.

Los detalles técnicos del alcance fueron publicados en un blog por Suiche (goo.gl/iIFDZs) y enlaza con una herramienta denominada Wannakey, cuyo concepto original fue creado y elaborada por Guinet.

XP o no XP

Wannakey soslaya el debate en torno a la información que ha circulado con respecto a que el hecho de que el parche inicial no incluía a Windows XP es irrelevante para los alcances del ataque.

“(El método) debería funcionar con cualquier sistema operativo desde XP a Win7. No es una solución perfecta, pero hasta el momento es la única disponible para ayudar a que las empresas recuperen sus archivos si resultaron infectados y no tienen respaldo”, comentó Suiche a Reuters a través de un MD de Twitter.

Esta hipótesis liberaría de responsabilidad a Microsoft, destacando que la mayoría de las empresas e instituciones afectadas no mantienen equipos con esta configuración. Según quienes defienden esta postura, WannaCry no soporta XP por lo que se presume que, en los pocos equipos con este sistema que fueron afectados, el código fue activado manualmente, sin que cumpliera con su objetivo fundamental: la propagación del ataque de gusano, como ocurrió con Windows 7 y Windows Server 2008.

Finalmente, la empresa Symantec que ha venido trabajando también el tema ha señalado que es “altamente posible” que el colectivo de ciberpiratería Lazarus vinculado con Corea de Norte sea responsables de esta ataque de ransomware.

Según la firma esto se corrobora al verificar ataques que se ejecutaron a comienzos de año con versiones previas del gusano, incluyendo una que afectó a bancos e instituciones en Perú y Brasil apenas semanas antes del ataque de WannaCry.