Recuperar los archivos de #Petya

En este momento hay dos versiones de Petya activas, la versión de abril pasado se puede recuperar siguiendo este procedimiento. Para la versión actual(27/06) se puede probar el mismo método pero, por desgracia, aún no hay forma segura de recuperación.

Investigadores encontraron que la versión actual de Petya cifra los archivos luego del reboot de la computadora. Si el sistema recién se infectó con Petya, se puede apagar y no volver a encender el equipo. Si la máquina se enciende se inicia el proceso de cifrado.

‏HackerFantastic dice que se puede utilizar un LiveCD para recuperar los archivos. Por su parte, PT Security, y Amit Serper descubrieron un “Kill-Switch” para Petya. De acuerdo a ellos, se puede crear un archivo “C:\Windows\perfc” para prevenir la infección.

No pague el rescate, NO conseguirá sus archivos

A los usuarios infectados se les aconseja que no paguen el rescate. Los delincuentes detrás de Petya no pueden recibir los correos electrónicos porque el proveedor alemán suspendió la dirección “wowsmith123456 @ posteo.net”, que era utilizada por los criminales para comunicarse con las víctimas.

Desbloquear los archivos afectados de forma gratuita

El investigador Lawrence Abrams de Bleeping Computer descubrió una debilidad en el diseño del malware y con una herramienta generadora de claves desarrollada por Leostone se podría desbloquear una PC con cifrado Petya en sólo 7 segundos.

Para poder utilizar la herramienta, las víctimas deben eliminar la unidad de inicio (MBR) del sistema afectado por Petya y conectar el disco a otro equipo con Windows (que no esté infectado).

Entonces se pueden extraer datos del disco rígido, específicamente:

  • Los 512 bytes codificados en base 64 que comienzan en el sector 55 (0x37h) con un desplazamiento de 0.
  • El nonce de 8 bytes codificado de 64 bits del sector 54 (0x36) desplazado 33 (0x21).

Estos datos deben ser utilizados en esta aplicación (mirror) creada por Leostone para generar la clave. La víctima recuperará entonces la clave Petya y podrá usarla para descifrar sus archivos.

Dado que la herramienta de Leostone no es un método directo, Fabian Wosar, un investigador independiente, ha creado una herramienta gratuita llamada Petya Sector Extractor, que puede usarse para extraer fácilmente los datos en segundos. Las víctimas deben ejecutar la herramienta en un equipo Windows no infectado con el disco infectado conectado. Abrams proporcionó este tutorial de todo el proceso.