Recuperar archivos cifrados por Petya (2)

Herramienta para recuperar archivos cifrados por el ransomware Petya

A veces, los malos también se equivocan, para alivio de muchos. ¿Recordáis el ransomware Petya? Apareció hace escasas semanas dispuesto a quitarnos el control de nuestros archivos, con la particularidad de que, esta vez, se trataba de un malware que dejaba la MFT del disco inservible. Por suerte, de momento tenemos una herramienta para recuperar los archivos cifrados por el ransomware Petya.

Un investigador en ciberseguridad ha desarrollado una herramienta que permite a las víctimas infectadas con Petya la recuperación de sus archivos, sin tener que pagar un duro. De momento funciona, aunque es posible que versiones futuras sean modificadas para impedir su funcionamiento. El tiempo lo dirá.

Debemos el diseño de la herramienta al usuario de Twitter @leostone, quien la anunció el pasado fin de semana.

Recuperar archivos cifrados por el ransomware Petya

Su herramienta aprovecha un error cometido por el autor del ransomware Petya, localizado en la forma en que se cifran los archivos en máquinas Windows, ofreciendo la posibilidad de dar con la clave de descifrado.

Recuperar archivos cifrados por Petya

Este cryptoransomware demanda el pago de 0,99 BTC, en torno a 390 €, de la víctima. Los chicos de Bleeping Computer, un foro donde estudian en profundidad este tipo de amenazas, han confirmado su capacidad, tardando solo 7 segundos en generar la clave de recuperación de datos.

Información importante

Parece ser que, sin embargo, la herramienta de Leostone requiere conocimientos avanzados para poder implementarse, como señalan en esta web.

Para utilizar la herramienta de descifrado de Leostone, necesitarás conectar el disco afectado por Petya a otro ordenador y extraer los datos del mismo. Los datos que necesitan ser extraídos en el disco objetivo, son 512 bytes comenzando en el sector 55 (0x37h) con un offset de 0 en la posición de 8 bytes desde el sector 54 (0x36) offset: 33 (0x21). Estos datos necesitan ser convertidos a codificación Base64, posteriormente utilizando el sitio web https://petya-pay-no-ransom.herokuapp.com para generar la clave.

Bien, don’t panic my friend, aún hay esperanza. El experto Fabian Wosar ha lanzado la herramienta Petya Sector Extractor, que permite recopilar datos concretos solicitados por la herramienta anteriormente mencionada. Sólo tendréis que:

  1. Conectar el disco cifrado a un equipo que funcione correctamente
  2. Utilizar el extractor de sectores Petya
  3. Finalmente, lanzar la herramienta de Leostone, para recuperar archivos cifrados por el ransomware Petya

Así, después de copiar y pegar la información generada por el Extractor de Sectores Petya, las víctimas podrán obtener la clave de descifrado que necesitan. Con esa clave, se recupera el estado original de los archivos.

No hay tiempo que perder

Es muy probable que pronto (si no ha ocurrido ya) los autores de este ransomware se den cuenta de esto, así que entonces modificarán la herramienta para evitar la recuperación con este método. Si has sido afectado, te recomiendo que utilices el recuperador ahora!

Bonus

La programadora Hasherezade había realizado previamente (finales de Marzo) una demostración de un método de recuperación frente a Petya, en este caso un método que vale exclusivamente para la FASE 1. Es decir, este método es válido si el sistema no se ha reiniciado desde la infección.

kali_forensics

¿Problema? Bien, el sistema dará un “pantallazo azul” (BSOD) causado por la llamada a NtRaiseHardError. Por tanto, si no habéis deshabilitado el reinicio automático tras fallo del sistema (cosa que os recomiendo) este método no estará disponible. En cualquier caso, este método os quedará como alternativa.

¡Mucha suerte en cualquier caso! 😉

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s