Encuentran como reparar PCs afectadas por el ransomware Petya

Publicado el 14 abril 2016 por Cosmoduende @cosmoduende

¿Un virus encriptó tu PC y te pide entrar a un sitio y pagarles? Esto es llamado Ransomware, el ransomware es un gran problema en la actualidad, afortunadamente en el caso de uno conocido como Petya, se ha encontrado como descifrar la información sin pagar Recompensa.

El ransomware a grandes rasgos se ha propagado mucho en el último año y lo más preocupante es que personalmente, cada vez estoy escuchando de más casos cercanos en los que el ransomware ha tomado control de computadoras sobre todo en oficinas.

Petya

Petya es un ransomware que fue detectado a finales del mes pasado y se propaga por medio de mails con enlaces a dropbox, si la persona descarga el archivo y lo ejecuta inmediatamente manda una ventana con un aviso, si la persona da en continuar, Petya se instala en el master boot record (MBR y contiene la tabla de particiones, es como un índice del disco para que la computadora sepa que leer en el disco) y reinicia la computadora, al reiniciarse Petya se enmascara como si el sistema estuviera haciendo un CHKDSK y luego aparece un cráneo y el mensaje de que has sido víctima de Petya.

Afortunadamente, después de que Bleeping Computer diera a conocer como funcionaba este ransomware, un individuo conocido en Twitter como @leostone creó una herramienta que permite obtener el password para descifrar el disco. EL método paso a paso está bien explicado aquí (en inglés), pero a grandes rasgos, hay que sacar el disco de la PC y conectarlo a otra computadora, ahí se  obtiene el código en el MBR de l disco afectado , lo cual se puede hacer manualmente o con esta otra herramienta llamada Petya Sector Extractor, de ahí se toma el código y se ingresa en las página de @leostone (1 , mirror)con la herramienta (de la cual ya también publicó los binarios), ahí se obtiene el password  generado que se se ingresa en la Pc afectada después de volverle a instalar el disco.

Heise Security también menciona que en la primera fase de la infección, el disco no ha sido encriptado, así que aunque no se pueda bootear desde el disco si es posible recuperar los datos solo conectando el disco a otra PC.

Hay que aclarar que este método solo funciona para este ransomware llamado Petya y en esta versión ya que no se sabe si en un futuro cercano, los desarrolladores del ransomware arreglarán este método de acceso.