Cómo descifrar el ransomware Petya de forma gratuita

[Sandra0001]

Cómo descifrar el ransomware Petya de forma gratuita

Petya es uno de los ransomware que más ruido ha generado en los últimos tiempos debido a su “agresividad”. Si la mayoría de los ransomware tienden a cifrar ficheros concretos almacenados en el disco duro, con especial mención a los documentos personales (aunque eso no impide que muchos también cifren ficheros del sistema), Petya prefiere “cortar por lo sano” y llevarse por delante el disco duro entero, impidiendo el inicio del sistema operativo instalado en él.

Como suele ocurrir en amenazas similares, Petya ha utilizado como principal canal de distribución el correo electrónico, aunque enlazando a una carpeta pública de Dropbox debido a que la mayoría de los servicios de correo electrónico no permiten adjuntar ficheros con extensión .exe en los emails.

En su momento saltaron todas las alarmas debido a su peligrosidad, sin embargo, ya existe una manera gratuita de poder revertir sus efectos, y es que como ya se ha comentado en otras ocasiones, cada ransomware tiene su propia forma de ser resuelto en caso de haber alguna solución.


Primer paso, conectar el disco duro infectado en un sistema sano

El primer paso es conectar el disco duro infectado por Petya en un ordenador que funcione correctamente y con Windows (sin infectar) en ejecución. A pesar de todo, esta operación no está exenta de riesgo para el equipo "anfitrión" si cometemos algún error en la secuencia de arranque, por lo que no está de más utilizar un equipo de pruebas. Así evitamos que otro disco duro o SSD con datos importantes quede infectado y veamos el problema agrandado.

Una vez iniciada la sesión desde un disco duro sano con Windows y conectarle el disco duro infectado, se necesita extraer los siguientes datos del disco duro infectado por Petya:

• Cifrado Base64 con verificación de datos de 512 bytes, localizado en el sector 55 (0x37) offset 0 (0x0) en el disco duro de la víctima (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)).
• Cifrado Base64 y nonce de 8 bytes, localizado en el sector 54 (0x36) offset 33 (0x21) en el disco duro de la víctima (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)).

Extraer esos dos datos manualmente podría ser algo complicado, por eso un investigador llamado Fabian Wosar ha lanzado una herramienta llamada Petya Sector Extractor, que tiene que ser utilizada sobre el sistema no infectado. Dicha herramienta tiene dos botones, Copy Sector y Copy Nonce, que corresponden de forma respectiva a los dos puntos de arriba, aunque antes de copiar los datos hay que seleccionar el disco duro infectado en el desplegable.

Herramienta Petya Sector Extractor:

Código:

http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip

Petya Sector Extractor

Segundo paso, obtener la clave para descifrar Petya

Con el sector y el nonce en nuestro poder, el siguiente paso es acceder la página web siguiente y pegar cada uno de los datos extraídos por Petya Sector Extractor.

Web para el cálculo de la clave:

Código:

https://petya-pay-no-ransom.herokuapp.com

Mirror:

Código:

https://petya-pay-no-ransom-mirror1.herokuapp.com/

El resultado obtenido tras pulsar Copy Sector se tiene que pegar en el campo de texto de arriba (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)) pulsando Ctrl-V (el pegado estándar de toda la vida), mientras que en el campo de abajo (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)) se tiene que pegar lo obtenido tras pulsar sobre el botón Copy Nonce. Por suerte lo obtenido por cada botón es muy diferente, así que resulta difícil confundirse y nos daríamos cuenta rápidamente.

Web de descifrado con los datos introducidos

Una vez rellenados los dos campos con los datos obtenidos a través de Petya Sector Extractor, se pulsa sobre el botón Submit en la página web para procesar los datos y obtener una clave que se muestra en el texto “Your key is: ABCD”. Ahora tendremos que copiar en algún papel u otro soporte como una fotografía de calidad la parte correspondiente a ABCD, que varía según los datos introducidos.

Clave de descifrado conseguida

Tercer paso, introducir la contraseña

Ahora tenemos que introducir la clave obtenida del texto “Your key is:” en el disco duro infectado por Petya. Para ello es recomendable devolver el disco duro infectado a su equipo original, sin ningún otro disco, e iniciar con el disco duro infectado. La clave se tiene que introducir en la parte inferior de la pantalla roja con letras blancas que aparece como consecuencia de la infección por Petya.

Descifrando el disco duro infectado

Una vez introducida la clave y si todo se ha hecho bien, empezará el proceso de descifrado, el cual no tendría que tardar demasiado en un ordenador relativamente moderno.



Fuente e imágenes | Bleeping Computer

Código:

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

[redeyegt]

Excelente nota, gracias por difundir.

[tortex]

Gracias Sandra por la info, que bueno que poco a poco salen estas herramientas...

[josner]

Sin lugar a dudas es un gran avance..!!

[baduser]

[Sandra0001]

Muchas gracias a vosotros por comentar.
Considero que los ataques de ransomware son un tema importante, para el que ya se han ido publicado soluciones para versiones anteriores; pero faltaba para este petya, que parece ser uno de los peores.
Al menos ahora tenemos una posible solución.
Salu2

Y gracias a ti también Baduser; es preciosa...!
Un abrazo...!

[Florderetama]

Sandra0001, muchas gracias por tu aporte!