Cómo descifrar el ransomware Petya de forma gratuita

Petya es uno de los ransomware que más ruido ha generado en los últimos tiempos debido a su “agresividad”. Si la mayoría de los ransomware tienden a cifrar ficheros concretos almacenados en el disco duro, con especial mención a los personales (aunque eso no impide que muchos también cifren ficheros del sistema), Petya prefiere “cortar por lo sano” y llevarse por delante el disco duro entero, impidiendo el inicio del sistema operativo instalado en él.

Como ya contamos en la anterior ocasión, Petya ha utilizado como principal canal de distribución el correo electrónico, aunque enlazando a una carpeta pública de Dropbox debido a que la mayoría de los servicios de correo electrónico no permiten adjuntar ficheros con extensión .exe en los emails.

En su momento saltaron todas las alarmas debido a su peligrosidad, sin embargo, ya existe una manera gratuita de poder revertir sus efectos, y es que como ya hemos comentado en otras ocasiones, cada ransomware tiene su propia forma de ser resuelto en caso de haber alguna solución.

Primer paso, conectar el disco duro infectado en un sistema sano

El primer paso es conectar el disco duro infectado por Petya en un ordenador que funcione correctamente y con Windows (sin infectar) en ejecución. Sin embargo, esto no es tan sencillo como aparenta, porque esta maniobra supone un riesgo para el disco duro sano. Por eso es recomendable desconectar el disco duro principal con Windows y utilizar otro, sobre el cual instalar Windows con sus drivers. Así evitamos que otro disco duro o SSD con datos importantes quede infectado y veamos el problema agrandado.

Una vez iniciada la sesión desde un disco duro sano con Windows y conectarle el disco duro infectado, se necesita extraer los siguientes datos del disco duro infectado por Petya:

Cifrado Base64 con verificación de datos de 512 bytes, localizado en el sector 55 (0x37) offset 0 (0x0) en el disco duro de la víctima (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)).
Cifrado Base64 y nonce de 8 bytes, localizado en el sector 54 (0x36) offset 33 (0x21) en el disco duro de la víctima (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)).

Extraer esos dos datos manualmente podría ser algo complicado, por eso un investigador llamado Fabian Wosar ha lanzado una herramienta llamada Petya Sector Extractor, que tiene que ser utilizada sobre el sistema no infectado. Dicha herramienta tiene dos botones, Copy Sector y Copy Nonce, que corresponden de forma respectiva a los dos puntos de arriba, aunque antes de copiar los datos hay que seleccionar el disco duro infectado en el desplegable.

Segundo paso, obtener la clave para descifrar Petya

Con el sector y el nonce en poder del usuario, el siguiente paso es acceder la página web https://petya-pay-no-ransom.herokuapp.com (podéis recurrir este mirror en caso de no funcionar) y pegar cada uno de los datos extraídos por Petya Sector Extractor.

El resultado obtenido tras pulsar Copy Sector se tiene que pegar en el campo de texto de arriba (Base64 encoded 512 bytes verification data. Location on victim-disk: sector 55 (0x37) offset 0(0x0)) pulsando Ctrl-V (el pagado estándar de toda la vida), mientras que en el campo de abajo (Base64 encoded 8 bytes nonce. Location on victim-disk: sector 54 (0x36) offset 33(0x21)) se tiene que pegar lo obtenido tras pulsar sobre el botón Copy Nonce. Por suerte lo obtenido por cada botón es muy diferente, así que en caso de equivocación el usuario tendría que darse cuenta rápidamente.

Una vez rellenados los dos campos con los datos obtenidos a través de Petya Sector Extractor, se pulsa sobre el botón Submit en la página web para procesar los datos y obtener una clave que se muestra en el texto “Your key is: ABCD”. El usuario tendrá que copiar en algún papel u otro soporte como una fotografía de calidad la parte correspondiente a ABCD, que varía según los datos introducidos

Tercer paso, introducir la contraseña

Ahora el usuario tendrá que introducir la clave obtenida del texto “Your key is:” en el disco duro infectado por Petya. Para ello es recomendable desconectar el disco duro sano utilizado para obtener la clave y configurar la placa para que inicie con el disco duro infectado. La clave se tiene que introducir en la parte inferior de la pantalla roja con letras blancas que aparece como consecuencia de la infección por Petya.

Una vez introducida la clave se tendría que iniciar el proceso de descifrado, el cual no tendría que tardar demasiado en un ordenador relativamente moderno.

Fuente e imágenes: Bleeping Computer | muyseguridad

- Todos los logos o imagenes mencionados en esta web son propiedad de sus empresas correspondientes -