Ekoparty es el evento anual de seguridad informática que, por sus características únicas y su particular estilo, se ha convertido en un referente para toda Latinoamérica.

Permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds, curiosos y entusiastas de la tecnología, reunirse y disfrutar de los descubrimientos más importantes en el ámbito de la seguridad informática.

27, 28 y 29 de septiembre, Centro Cultural Konex, Buenos Aires, Argentina.

27 jun. 2017

¿Recuperar los archivos de #Petya?

En este momento hay dos versiones de Petya activas, la versión de abril pasado se puede recuperar siguiendo este procedimiento. Para la versión actual(27/06) se puede probar el mismo método pero, por desgracia, aún no hay forma segura de recuperación.

Investigadores encontraron que la versión actual de Petya cifra los archivos luego del reboot de la computadora. Si el sistema recién se infectó con Petya, se puede apagar y no volver a encender el equipo. Si la máquina se enciende se inicia el proceso de cifrado.

‏HackerFantastic dice que se puede utilizar un LiveCD para recuperar los archivos. Por su parte, PT Security, y Amit Serper dicen haber descubierto un "vacuna preventiva" para Petya pero esa información no está confirmada. De acuerdo a ellos, se puede crear los archivos de solo lectura "C:\Windows\perfc, perfc.dll y perfc.dat" para prevenir la infección.

La descripción técnica de su funcionamiento se encuentra en este artículo de Microsoft.

Desbloquear los archivos afectados de forma gratuita

El investigador Lawrence Abrams de Bleeping Computer descubrió una debilidad en el diseño del malware y con una herramienta generadora de claves desarrollada por Leostone se podría desbloquear una PC con cifrado Petya en sólo 7 segundos.

Para poder utilizar la herramienta, las víctimas deben eliminar la unidad de inicio (MBR) del sistema afectado por Petya y conectar el disco a otro equipo con Windows (que no esté infectado).

Entonces se pueden extraer datos del disco rígido, específicamente:
  • Los 512 bytes codificados en base 64 que comienzan en el sector 55 (0x37h) con un desplazamiento de 0.
  • El nonce de 8 bytes codificado de 64 bits del sector 54 (0x36) desplazado 33 (0x21).
Estos datos deben ser utilizados en esta aplicación (mirror) creada por Leostone para generar la clave. La víctima recuperará entonces la clave Petya y podrá usarla para descifrar sus archivos.
Dado que la herramienta de Leostone no es un método directo, Fabian Wosar, un investigador independiente, ha creado una herramienta gratuita llamada Petya Sector Extractor, que puede usarse para extraer fácilmente los datos en segundos. Las víctimas deben ejecutar la herramienta en un equipo Windows no infectado con el disco infectado conectado. Abrams proporcionó este tutorial de todo el proceso.

No pague el rescate, NO conseguirá sus archivos

A los usuarios infectados se les aconseja que no paguen el rescate. Los delincuentes detrás de Petya no pueden recibir los correos electrónicos porque el proveedor alemán suspendió la dirección "wowsmith123456 @ posteo.net", que era utilizada por los criminales para comunicarse con las víctimas.

Actualización: Matt Suiche, afirma que en realidad esta última versión no se trata de un ransomware sino un "wiper", un programa malicioso dedicado a borrar archivos y discos duros completos pero esto es un error ya que en los sectores de la MFT que sobreescribe el malware, (por error o intencionalmente), no hay información útil. De todas formas, por algún motivo, el troyano utiliza dos claves y probablemente la información igualmente quede irrecuperable.

Esto significa que las víctimas del ataque nunca tuvieron oportunidad de recuperar sus archivos porque no estaban secuestrados, sino que habían desaparecido por completo.

4 comentarios:

  1. ¿No acaso ese aplica al OTRO Petya? Me parece que no aplica para esta nueva versión, revisa las fechas.

    ResponderEliminar
    Respuestas
    1. Efectivamente, ahora aclarado en el post.

      Eliminar
  2. "...revela que en realidad esta última versión no se trata de un ransomware sino un "wiper"..." - ¿Esto significa que en realidad para esta variante (Nopetya) no hay forma de desbloquear los archivos afectados? Es decir, si sos victima y no tenés backup ¿da todo por perdido aunque pagues? Fa...!

    ResponderEliminar
  3. Una respuesta a lo que escribió MATT SUICHE: ..."What the blog author didn’t take into account is that the 24 sectors following the MBR are completely empty on any standard Windows intstallation. Windows MBRs are a total of 1 sector in size but for legacy reasons Windows will start the partition on sector 64 (this is sector 0 of track 1 on really old hard disks with 512 byte sectors), leaving 63 sectors of free space between the MBR and start of the partition (later raised to 2048 sectors in Windows Vista). Essentially on any standard Windows operating system there is nothing between sector 1 and sector 64, meaning the 24 sectors Petya “destroys” don’t contain anything at all, and the developer likely knows this.". Comparto: https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!