Ya es posible recuperar los archivos cifrados por el ransomware Petya

El autor del ransomware Petya -ojo, el Petya original, nada que ver con la última variante, conocida como NotPetya, pero aún así confundida por algunos- ha decidido hacer pública la clave de cifrado maestra. ¿Qué significa esto? Pues sencillamente que dicha clave nos permite recuperar aquellos archivos cifrados por Petya, sin pagar un céntimo y con garantías.

Ransomware Petya original

Todo aquel usuario que haya sido afectado en su momento por Petya está de enhorabuena, ya que puede recuperar su archivos sin coste. A continuación un extracto del artículo publicado al respecto por Malwarebytes:

Como ha concluido el estudio, el autor original de Petya, conocido como Janus, no estuvo relacionado de forma alguna con el reciente ataque en Ucrania y otros países. […] Como resultado de los últimos hechos, Janus probablemente haya decidido desactivar el proyecto Petya original.

De forma similar a lo ocurrido con Teslacrypt, Janus ha publicado la clave privada, necesaria para que las víctimas de ataques mediante Petya original puedan recuperarlo todo. Este extremo ha sido confirmado además por Kaspersky, que certifica que la clave es válida para descifrar no sólo ataques de Petya, sino también del ransomware GoldeEye en versiones tempranas.

Ransomware GoldenEye

Se trata de una muestra aparecida en 2016 y cuyo autor es también Janus, quien utilizó una variante del código de Petya aunque, por desgracia, alguien robó el código compilado y realizó versiones diferentes ya en 2017. La especialista en des-ensamblado de malware Hasherezade publicó lo siguiente al respecto:

El código del Petya original ha sido hecho público, así que en caso de que fuera re-copilado probaría que el autor original del código (Janus), está de alguna forma relacionado con el ciberataque reciente, ya sea porque es su código o porque decidió venderlo a otros actores.

Como ya hemos visto en anteriores artículos, el código compartido entre Petya y NotPetya difiere en varias cuestiones, principalmente en que en este último no se contempló la posibilidad de devolver el control de los archivos a las víctimas en ningún momento.

Una herramienta que dejó de funcionar…

El mes de Abril del año pasado, algunos expertos publicaron una herramienta para descifrar archivos encriptados por las versiones iniciales de Petya. El usuario @leostone anunció un método para crackear la clave en menos de un minuto. Además, puso a disposición del público una web para ayudar a las víctimas a generar una clave privada que permitiera recuperar los archivos.

Para conseguir esto es necesario proporcionar información sobre el disco afectado. El experto de Emsisoft Fabian Wosar publicó una aplicación destinada a automatizar este proceso de extracción, que por otro lado es algo complejo.

La herramienta escanea el disco afectado en busca del código de arranque de Petya. Cuando lo detecta, lo selecciona y nos permite copiar tanto los sectores afectados como el “nonce” o clave de negociación asociado al mismo. Estos datos son un sector de 512 bytes codificado en Base64 para datos y otro nonce similar de 8 bytes. Estos datos permiten generar la clave de recuperación mediante la web de leostone.

Para llevar a cabo el proceso es necesario conectar el disco afectado a otro equipo Windows que funcione correctamente y extraer los datos. Esto puede no se tan sencillo para todo el mundo, sin embargo, como comenté en el artículo original. Por eso es útil la web de Fabian Wosar, que ofrece una herramienta especial para recuperar esos datos por nosotros. Podéis consultar todo esto en el análisis de Petya.

Recuperar archivos cifrados por Petya

Dado que Janus respondió con una actualización para su cryptoware que neutralizaba esta opción, los usuarios quedaron sin la posibilidad de recuperar los archivos cifrados por versiones posteriores del malware…hasta hoy. Pulsa en el siguiente botón para descargar la clave de recuperación para Petya.

descargar clave para recuperar archivos cifrados por Petya

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s