El ransomware es el tipo de software
malicioso que más quebraderos de cabeza está dando tanto a usuarios como
a empresas en los últimos años. Cuando este malware infecta a los
usuarios, lo primero que hace es cifrar todos los datos personales de
los discos duros para, posteriormente, pedir el pago de un rescate por
ellos o, de lo contrario, se perderán para siempre.
Cada poco tiempo aparecen nuevas
variantes de este malware, cada una con una serie de características
únicas de manera que se diferencie de los demás y, de paso, poder
conseguir la mayor cantidad de dinero posible de las víctimas. Uno de
los ransomware más recientes es PETYA, un ransomware que, en vez de cifrar todos los datos del disco duro individualmente se centra en cifrar el MBR del disco, dejando a la unidad completa bloqueada a la espera del pago del rescate.
Por suerte, no existe el software
perfecto, y el ransomware, como cualquier otro programa, tiene fallos de
seguridad que permiten a los investigadores de seguridad hacer uso de
la ingeniería inversa para crear una herramienta con la que recuperar
los datos sin tener que pagar a los piratas informáticos un rescate que,
en la mayoría de los casos, no devuelve la clave de descifrado.
En este caso, un grupo de investigadores de seguridad ha descubierto cómo poder recuperar todos los datos de los discos duros secuestrados por PETYA sin tener que pagar el rescate, sin embargo, este es un proceso algo técnico, por lo que es probable que algunos usuarios tengan problemas al intentar reproducirlo.
Cómo recuperar los datos de un disco cifrado por el ransomware PETYA
Lo primero que debemos hacer es conectar
el disco duro cifrado a otro ordenador, desde el cual vamos a trabajar.
Una vez conectado, debemos extraer del mismo dos ficheros concretos:
- 512 bytes de verificación de datos del sector 55 (0x37) offset 0(0x0), convertido en base64.
- 8 bytes del sector 54 (0x36) offset 33(0x21) del disco, también convertido a base 64.
Para ayudarnos a obtener estos ficheros,
podemos utilizar la siguiente herramienta creada por Bleeping Computer,
la cual extraerá ambos ficheros codificados en base64 directamente sin
tener que hacer nada más, ideal para los usuarios menos técnicos.
Una vez tenemos estos dos ficheros,
simplemente accedemos a la siguiente página web y pegamos el contenido
de los datos previamente extraídos (para ver el contenido simplemente
debemos abrirlos con un editor de texto como el Bloc de notas o Sublime
Text) y pulsamos sobre el botón “submit”.
Listo. La web tardará menos de un minuto
en mostrarnos la clave correspondiente con la que podremos recuperar
los datos del disco duro.
Lo único que nos queda por hacer es
volver a conectar el disco duro al ordenador original, arrancarlo y
cuando veamos la pantalla de bloqueo del ransomware, simplemente
introducimos la clave generada en el paso anterior para comenzar el
descifrado automático del disco, como vemos, sin haber pagado nada.
Fuente: redeszone