El ransomware es el tipo de software malicioso que más quebraderos de cabeza está dando tanto a usuarios como a empresas en los últimos años. Cuando este malware infecta a los usuarios, lo primero que hace es cifrar todos los datos personales de los discos duros para, posteriormente, pedir el pago de un rescate por ellos o, de lo contrario, se perderán para siempre.
Cada poco tiempo aparecen nuevas variantes de este malware, cada una con una serie de características únicas de manera que se diferencie de los demás y, de paso, poder conseguir la mayor cantidad de dinero posible de las víctimas. Uno de los ransomware más recientes es PETYA, un ransomware que, en vez de cifrar todos los datos del disco duro individualmente se centra en cifrar el MBR del disco, dejando a la unidad completa bloqueada a la espera del pago del rescate.
Por suerte, no existe el software perfecto, y el ransomware, como cualquier otro programa, tiene fallos de seguridad que permiten a los investigadores de seguridad hacer uso de la ingeniería inversa para crear una herramienta con la que recuperar los datos sin tener que pagar a los piratas informáticos un rescate que, en la mayoría de los casos, no devuelve la clave de descifrado.
En este caso, un grupo de investigadores de seguridad ha descubierto cómo poder recuperar todos los datos de los discos duros secuestrados por PETYA sin tener que pagar el rescate, sin embargo, este es un proceso algo técnico, por lo que es probable que algunos usuarios tengan problemas al intentar reproducirlo.
Cómo recuperar los datos de un disco cifrado por el ransomware PETYA
Lo primero que debemos hacer es conectar el disco duro cifrado a otro ordenador, desde el cual vamos a trabajar. Una vez conectado, debemos extraer del mismo dos ficheros concretos:
- 512 bytes de verificación de datos del sector 55 (0x37) offset 0(0x0), convertido en base64.
- 8 bytes del sector 54 (0x36) offset 33(0x21) del disco, también convertido a base 64.
Para ayudarnos a obtener estos ficheros, podemos utilizar la siguiente herramienta creada por Bleeping Computer, la cual extraerá ambos ficheros codificados en base64 directamente sin tener que hacer nada más, ideal para los usuarios menos técnicos.
Una vez tenemos estos dos ficheros, simplemente accedemos a la siguiente página web y pegamos el contenido de los datos previamente extraídos (para ver el contenido simplemente debemos abrirlos con un editor de texto como el Bloc de notas o Sublime Text) y pulsamos sobre el botón “submit”.
Listo. La web tardará menos de un minuto en mostrarnos la clave correspondiente con la que podremos recuperar los datos del disco duro.
Lo único que nos queda por hacer es volver a conectar el disco duro al ordenador original, arrancarlo y cuando veamos la pantalla de bloqueo del ransomware, simplemente introducimos la clave generada en el paso anterior para comenzar el descifrado automático del disco, como vemos, sin haber pagado nada.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
