WannaCrypt es un disparo que se escucha en todo el mundo, sin duda.
He visto artículos de noticias que dicen que las personas han pagado más de $ 20,000 en rescates. Aquí hay uno de Krebs: Brote global de Wana 'Ransomware Brote Perpetradores $ 26,000 hasta ahora
Pero mi pregunta es: ¿Alguien ha descifrado sus archivos con éxito después de pagar?
Sí , algunos aparentemente han descifrado sus archivos después de pagar el rescate.
Tenemos confirmación de que algunas de las más de 200 víctimas de #WannaCry que han pagado el rescate han recuperado sus archivos. Aún así, no se recomienda.
(twiteado por Mikko Hypponen, CRO en F-Secure, el 15 de mayo de 2017)
Pero no hay absolutamente ninguna garantía para descifrar el suyo después de pagar y las posibilidades parecen ser bastante bajas, especialmente porque no es un proceso automatizado pero requiere interacción con un operador humano. Los investigadores de seguridad recomiendan fuertemente contra el pago del rescate .
Para ser franco, el pago del rescate es un dilema típico de los presos. Si nadie descifra el archivo (alguna compañía tendrá alguna evaluación de seguridad y política de intercambio de información con autoridad), destruirá la reputación del atacante de ransomware y destruirá el futuro "prospecto". Sin embargo, hay posibilidades de que el atacante ransomwware cometa errores.
El problema radica en la clave de cifrado. Para maximizar el beneficio del rescate, genere una nueva clave criptográfica que cada PC sea el camino a seguir. Sin embargo, también introducirá el riesgo de que falte la clave criptográfica en la transición al servidor de tipos malos C & C (comando y control).
Por lo tanto, tener una clave criptográfica pre-generada garantizará un descifrado, pero también significa que aquellos que pagan pueden "reutilizar" la clave de descifrado en muchas PC.
(actualizar): Como lo sugiere @Josef, el atacante puede usar una clave asimétrica para cifrar una clave única ad hoc. Es decir. El código de ransomeware usa una clave pública para cifrar la clave criptográfica adhoc. Esto significa que el malware debe enviar estos datos cifrados de primer nivel al servidor C & C. Pero hay un problema para este mecanismo: si la autoridad bloquea la propiedad intelectual de C & C, "perjudicará" al sindicato "rendimiento de ventas" (sarcasmo).
Sí, algunas víctimas han recibido la clave de descifrado después de pagar el rescate. Sin embargo, debido a la escala de la infección y la forma en que se codifica el ransomware, es probable que los delincuentes no puedan cumplir con las solicitudes de descifrado:
Esas escasas ganancias pueden deberse en parte a que WannaCry apenas cumple con sus funciones básicas de rescate, dice Matthew Hickey, investigador de la firma de seguridad Hacker House con sede en Londres. Durante el fin de semana, Hickey buscó en el código de WannaCry y descubrió que el malware no verifica automáticamente que una víctima en particular haya pagado el rescate de $ 300 de bitcoin exigido al asignarles una dirección de bitcoin única. En su lugar, solo proporciona una de las cuatro direcciones de bitcoin codificadas, lo que significa que los pagos recibidos no tienen detalles de identificación que podrían ayudar a automatizar el proceso de descifrado . En cambio, los criminales mismos han tenido que averiguar qué computadora descifrar a medida que entran los rescates, un arreglo insostenible dados los cientos de miles de dispositivos infectados . "Realmente es un proceso manual en el otro extremo, y alguien tiene que reconocer y enviar la clave", dice Hickey.
Hickey advierte que la configuración conducirá inevitablemente a que los delincuentes no descifren las computadoras incluso después del pago . Él dice que ya ha estado monitoreando a una víctima que pagó hace más de 12 horas y aún no ha recibido una clave de descifrado. "No están realmente preparados para lidiar con un brote de esta escala", dice Hickey.
( Fuente aquí . Énfasis mío.)
Tenga en cuenta que si su máquina infectada ejecuta Windows XP, es posible que pueda recuperar sus archivos de forma gratuita. Hay una manera de obtener la clave de descifrado de la RAM , así que siempre que no hayas apagado la máquina después de la infección, puedes recuperar tus datos sin pagar ningún rescate.
EDITAR: buenas noticias, este método funciona también para todas las versiones de Windows desde XP a 7 .
No se conoce ningún descifrado exitoso y tampoco la forma en que se vincula el pago de rescate a la PC infectada. Pero mire la cantidad de rescates pagados: alrededor de 269 casos conocidos (a través de la observación de las carteras de bitcoin; vea enlace ) contra las infecciones conocidas (220.000 ).
Lea otras preguntas en las etiquetas ransomware wannacry decryption