Noticias y Alertas
Header

Recuperar los archivos de #Petya

junio 28th, 2017 | Posted by kwelladm in Análisis Forense / Vulnerabilidades | Ciberguerra | Ciberguerra | Publicaciones

En este momento hay dos versiones de Petya activas, la versión de abril pasado se puede recuperar siguiendo este procedimiento. Para la versión actual(27/06) se puede probar el mismo método pero, por desgracia, aún no hay forma segura de recuperación.

Investigadores encontraron que la versión actual de Petya cifra los archivos luego del reboot de la computadora. Si el sistema recién se infectó con Petya, se puede apagar y no volver a encender el equipo. Si la máquina se enciende se inicia el proceso de cifrado.


‏HackerFantastic dice que se puede utilizar un LiveCD para recuperar los archivos. Por su parte, PT Security, y Amit Serper dicen haber descubierto un “vacuna preventiva” para Petya pero esa información no está confirmada. De acuerdo a ellos, se puede crear los archivos de solo lectura “C:\Windows\perfc, perfc.dll y perfc.dat” para prevenir la infección.

La descripción técnica de su funcionamiento se encuentra en este artículo de Microsoft.

No pague el rescate, NO conseguirá sus archivos

A los usuarios infectados se les aconseja que no paguen el rescate. Los delincuentes detrás de Petya no pueden recibir los correos electrónicos porque el proveedor alemán suspendió la dirección “wowsmith123456 @ posteo.net”, que era utilizada por los criminales para comunicarse con las víctimas.

Desbloquear los archivos afectados de forma gratuita

El investigador Lawrence Abrams de Bleeping Computer descubrió una debilidad en el diseño del malware y con una herramienta generadora de claves desarrollada por Leostone se podría desbloquear una PC con cifrado Petya en sólo 7 segundos.

Para poder utilizar la herramienta, las víctimas deben eliminar la unidad de inicio (MBR) del sistema afectado por Petya y conectar el disco a otro equipo con Windows (que no esté infectado).

Entonces se pueden extraer datos del disco rígido, específicamente:

  • Los 512 bytes codificados en base 64 que comienzan en el sector 55 (0x37h) con un desplazamiento de 0.
  • El nonce de 8 bytes codificado de 64 bits del sector 54 (0x36) desplazado 33 (0x21).

Estos datos deben ser utilizados en esta aplicación (mirror) creada por Leostone para generar la clave. La víctima recuperará entonces la clave Petya y podrá usarla para descifrar sus archivos.

Dado que la herramienta de Leostone no es un método directo, Fabian Wosar, un investigador independiente, ha creado una herramienta gratuita llamada Petya Sector Extractor, que puede usarse para extraer fácilmente los datos en segundos. Las víctimas deben ejecutar la herramienta en un equipo Windows no infectado con el disco infectado conectado. Abrams proporcionó este tutorial de todo el proceso.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario