Ciberseguridad

'Crakeado' el ransomware Petya

La técnica no es precisamente sencilla, pero funciona permitiendo el descifrado del disco duro de forma gratuita

Petya ransomware

Los expertos en seguridad han ideado un método que permite a los usuarios recuperar datos de ordenadores infectados con el programa de ransomware Petya sin tener que pagar dinero para los cibercriminales.
Petya apareció en el radar de los investigadores el mes pasado cuando los criminales lo distribuyeron a las empresas a través de mensajes de spam que simulaban ser las solicitudes de empleo. La diferencia respecto a otros programas de cifrado de archivos ransomware es que sobreescribe en el registro maestro de arranque de una unidad de disco duro (MBR), dejando a los equipos infectados incapaces de arrancar el sistema operativo.
El programa reemplaza el código MBR legítimo de la unidad, que normalmente se inicia el sistema operativo, con el código que encripta la tabla maestra de archivos (MFT) y muestra una nota de rescate. El MFT es un archivo especial en volúmenes NTFS que contiene información sobre todos los demás archivos: su nombre, el tamaño y el mapeo de sectores del disco duro.


El contenido real de los archivos del usuario no está cifrados, pero sin el MFT, el sistema operativo ya no se sabe dónde se encuentran los archivos en el disco. Usar  herramientas de recuperación de datos para reconstruir los archivos localizados podría ser posible, pero no se garantiza que funcione perfectamente y sería mucho tiempo.
Afortunadamente, recurrir a ese método ya no es necesario, y tampoco pagar a los autores de Petya. Alguien con usando leostone ideó un algoritmo para obtener la clave necesaria para restaurar el MFT y recuperarse de una infección Petya.

Los expertos en informática del popular foro de soporte técnico BleepingComputer.com confirmaron que la técnica funciona, pero requiere extraer algunos datos de un disco duro afectado. Para que no resulte complicado Fabian Wosar de la firma de seguridad Emsisoft crearon una herramienta sencilla y gratuita que puede hacerlo. Sin embargo, debido a que el equipo infectado ya no puede arrancar en Windows, utilizando la herramienta requiere sacar el disco duro afectado y conectarlo  a un ordenador diferente, donde la herramienta se puede ejecutar. Un disco duro externo USB colocado en la docking station se puede utilizar.

Los datos extraídos de la herramienta debe ponerse en una aplicación web creada por leostone que los utilizará para obtener la clave. El usuario debe poner el disco duro afectado de nuevo en el equipo original, arrancar desde él y poner la clave en la pantalla mostrada por el rescate Petya.
"Una vez que el disco duro se descifra, el ransomware le pedirá que reinicie el ordenador y ahora debería arrancar normalmente,", aseguró Lawrence Abrams, fundador de BleepingComputer.com.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper