12 abr. 2016

Rompen el cifrado del #ransomware #Petya (Herramienta gratuita)

Una herramienta disponible gratuitamente deriva la contraseña usada por el ransomware Petya para corromper el MBR. El malware tiene un error que permite a las víctimas descifrar sus datos sin pagar rescate.

Cuando salió a la luz hace un par de semanas, Petya fue notorio porque apuntó a la unidad de inicio del sistema de la víctima volviendo inoperable su registro de inicio maestro o MBR (Master Boot Record). Consiguió esto cifrando el archivo de inicio y mostrando la nota de la extorsión, con la imagen que se ve aquí.

Como resultado, sin la contraseña para descifrarlo, la computadora infectada no puede iniciar y todos los archivos en el disco de inicio quedan inaccesibles. La MBR es un sector de inicio de un disco duro particionado, mientras que el archivo de inicio maestro es un archivo en los volúmenes NTFS que contienen el nombre, tamaño y ubicación de todos los demás archivos.

Ahora, alguien que se identifica por su nombre de Twitter como @leo_and_stone ha desarrollado una herramienta que genera la contraseña que requiere Petya para descifrar el archivo de inicio maestro. Para usar el generador de contraseñas, las víctima deben remover el disco de inicio de la computadora infectada y conectarlo en una computadora con Windows que no esté infectada. La víctima entonces extrae datos del disco duro, específicamente (1) los 512 bytes del sector de inicio codificado en base 64 del sector 55 (0x73h) con 0 de desplazamiento, y (2) el nonce de 8 bytes codificado en Base64 del sector 54 (0x36h) con desplazamiento 33 (0x21h).

Ingresando la información en esta aplicación Web creada por @leo_and_stone, la víctima puede obtener la contraseña usada por Petya para descifrar el archivo. Obtener la información del disco duro que necesita la aplicación web para derivar (obtener) la contraseña no es algo sencillo al alcance de cualquiera. Afortunadamente, otro investigador por separado ha desarrollado una herramienta gratuita denominada el Petya Sector Extrator que obtiene esa información en segundos. La aplicación se debe correr en la computadora donde se conectó el disco duro infectado.

Bleeping Computer, un reputado foro de ayuda de computación, informa que la técnica funciona y provee este tutorial paso a paso que guía a la persona por todo el proceso. Tal como ArsTechnica informó hace dos semanas, un análisis técnico escrito en alemán ya había señalado que el "cifrado" utilizado por Petya en su primera fase es un simple XOR con un valor fijo del Registro de Inicio Maestro (MBR). Esa observación parece haber sembrado las semillas para que las herramientas estuvieran disponibles recién ahora.

La sencillez para recuperar la contraseña es otro recordatorio más de la máxima tan repetida que la criptografía es difícil tanto para los buenos como para los malos. La tarea puede ser particularmente difícil cuando se deriva y almacena una contraseña en una computadora que es accesible para el adversario. Pero difícil e imposible no son la misma cosa. No es de sorprender que los desarrolladores de Petya reparen esta debilidad en futuras versiones. Una vez que suceda, estas herramientas ya no funcionarán.

Traducción: Raúl Batista - Segu-Info
Autor: Dan Goodin
Fuente: Arstechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!