Hagamos memoria: Petya (GoldenEye siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de 2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un rescate por descifrarlos.

Técnicamente, Petya se caracteriza porque su principal forma de secuestro es cifrar la MFT (índice de archivos en disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas versiones de Petya también tienen esta opción). Curiosamente, más que ser conocido por la versión del autor original, es más famoso por EternalPetya, una versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania. Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con motivación política.

La noticia es que para las versiones originales de Petya, el autor ha publicado su clave privada, lo que permite descifrar los archivos de las víctimas. @hsherezade, una investigadora independiente en seguridad de la información, ha publicado una herramienta que usa la clave publicada para descifrar los archivos. La herramienta está en versión beta, y como siempre se recomienda antes de intentar el descifrado, lo ideal es hacer una copia de seguridad del original cifrado por si el proceso de descifrado falla e inutiliza definitivamente nuestros archivos.

Las versiones descifrables son las siguientes:

  1. Red Petya
  2. Green Petya (ambas versiones)
  3. GoldenEye Petya

Todas las versiones se reconocen fácilmente porque el nombre hace referencia al color del aviso que notifica la infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de pantalla cada una de las versiones comentadas, así como algunas versiones no oficiales (que no son descifrables por esta herramienta).

El enlace a la herramienta que descifra las versiones originales de Petya:

https://github.com/hasherezade/petya_key

La herramienta está publicada en código fuente, por lo que es necesario compilarla antes de usarla.

Más información:

Fuente: Hispasec

Anuncios