Desencriptar el ransomware Petya gracias a un bug

petya-ransomware-fb-3[1]

Normalmente no solemos alegrarnos por los bugs, sin embargo, hoy haremos una excepción.

Un bug o un error en el código del ransomware Petya ha permitido a un desarrollador crear una herramienta para desbloquear el dispositivo de un usuario sin pagar el rescate.

El mes pasado te advertimos sobre Petya y su objetivo de destruir dispositivos. Así que, yo dedicaría un ¡hurra! o un ¡choca esos cinco! bien merecido para el usuario identificado como @Leostone en Twitter.

 

 

Este usuario tiene un huevo como avatar, por lo que uno se pregunta: ¿realmente funcionará este descifrador? Para comprobarlo, contactamos con nuestro equipo de investigación.

Nuestro equipo confirmó que la herramienta realmente funciona. Pero, hay algunos problemas. En primer lugar, @Leostone creó el descifrador como una página web que genera claves para descifrar los datos. Y esa página, de momento, tiene ciertos problemas de disponibilidad. Parece que su proveedor de hosting no pudo soportar a tantos “clientes afectados por Petya” que quisieron conseguir la cura inmediatamente.

En segundo lugar, requiere que saques tu disco duro y lo insertes en otro PC. Luego tienes que extraer unos datos especiales de ciertos sectores, utilizando el descifrador Base64 decoder. Subirlo a la página y ¡voilà!, tienes la clave para alimentar a Petya. Y esta descifrará tu disco duro.

Como puedes ver, este proceso es algo complicado y requiere ciertas habilidades. Otro usuario de Twitter, Fabian Wosar, te lo ha facilitado creando una utilidad especial llamada Petya Sector Extractor, que hace el trabajo sucio. Aun así, tienes que extraer tu disco duro y encontrar otro PC para insertarlo, pero luego la herramienta extraerá los datos requeridos y los procesará. Lo único que tienes que hacer tras obtener la clave, es introducir los datos que la herramienta te ha dado e insertarlos en los formularios de la página web de @Leostone.

Nuestro equipo de investigación también ha observado que esta herramienta explota un error en la programación de Petya. Al igual que las empresas con parches, es probable que dentro de una semana veamos una nueva versión de Petya, con los errores solucionados, que permitirá descifrar los datos.

Si has sido víctima de Petya y no quieres pagar el rescate de aproximadamente 450 euros, tal vez quieras probar la herramienta, puedes acceder a ella a través de: https://petya-pay-no-ransom.herokuapp.com/. Y puedes descargar Petya Sector Extractor aquí. Incluso teniendo estos enlaces, necesitarás conocimientos técnicos. El equipo de Bleeping Computer te guiará paso a paso.

Fuente: Blog.Kaspersky.es