¿La grieta de Petya Ransomware traerá de vuelta tus archivos?

Ransomware está en aumento. Los delincuentes cibernéticos han aumentado las apuestas Más allá de tu computadora: 5 maneras en que Ransomware te llevará cautivo en el futuro Más allá de tu computadora: 5 maneras en que Ransomware te llevará cautivo en el futuro Ransomware es probablemente el malware más desagradable que existe, y los criminales que lo usan son cada vez más avanzado, aquí hay cinco cosas preocupantes que podrían ser tomadas como rehenes pronto, incluyendo hogares inteligentes y autos inteligentes. Lea más en la batalla por sus datos, introduciendo franjas de malware avanzado diseñado para cifrar sus datos personales. Su objetivo final es extorsionarte. A menos que se cumplan sus demandas, sus archivos cifrados permanecerán fuera del alcance.

Indisponible. Perdido.

Los ataques a individuos no son innovadores. Tampoco están acaparando los titulares. Pero en 2015, el FBI recibió poco menos de 2.500 quejas relacionadas directamente con ataques relacionados con ransomware, lo que equivale a unos $ 24 millones en pérdidas para las víctimas..

Hace poco más de dos semanas, una nueva variante de ransomware, Petya, surgido Sin embargo, tan pronto como los investigadores de seguridad comenzaron a administrar advertencias sobre las capacidades del ransomware y los modos específicos de ataque, un individuo irritado rompió el cifrado Petya. Esto significa que miles de víctimas potenciales pueden descifrar sus archivos de manera segura, ahorrando tiempo, dinero y montañas de frustración.

Por qué Petya es diferente

Las infecciones por ransomware generalmente siguen una ruta lineal. ¿Qué es un kit de arranque, y es Nemesis una amenaza genuina? ¿Qué es un kit de arranque, y es Nemesis una amenaza genuina? Los piratas informáticos siguen encontrando formas de interrumpir su sistema, como el bootkit. Veamos qué es un bootkit, cómo funciona la variante de Nemesis, y consideremos qué puedes hacer para mantenerte claro. Lee mas . Una vez que el sistema está comprometido, el ransomware escanea toda la computadora. No se caiga en la trampa de los estafadores: una guía para el ransomware y otras amenazas No se caiga en la trampa de los estafadores: una guía para el ransomware y otras amenazas Lea más y comienza el cifrado proceso. Dependiendo de la variante de ransomware Evite caer en la víctima de estas tres estafas de ransomware Evite caer en la víctima de estas tres estafas de ransomware Varias de las estafas de ransomware están en circulación en este momento; Repasemos tres de los más devastadores, para que puedas reconocerlos. Lea más, las ubicaciones de la red también pueden estar cifradas. Una vez que se completa el proceso de encriptación, el ransomware entrega un mensaje al usuario para informarle sobre sus opciones: pagar o perder. No pagar: cómo vencer al ransomware. ¡No pague, cómo vencer al ransomware! Imagínate si alguien apareciera en tu puerta y dijera: "Oye, hay ratones en tu casa que no sabías. Danos $ 100 y nos desharemos de ellos". Este es el Ransomware ... Leer más .

Las variaciones recientes en el ransomware han ignorado los archivos personales de los usuarios, optando por en cambio cifrar la tabla maestra de archivos (MFT) de la unidad C:, haciendo que una computadora sea inútil..

Tabla maestra de archivos

Petya se ha distribuido en gran parte a través de una campaña de correo electrónico malicioso..

“Las víctimas recibirían un correo electrónico adaptado para verse y leerse como una misiva relacionada con los negocios de un “solicitante” buscando un puesto en una empresa. Presentaría a los usuarios un hipervínculo a una ubicación de almacenamiento de Dropbox, que supuestamente permitiría que el usuario descargue el currículum vitae (CV) de dicho solicitante..”

Una vez instalado, Petya comienza a reemplazar el Master Boot Record (MBR). El MBR es la información almacenada en el primer sector del disco duro, que contiene el código que ubica la partición primaria activa. El proceso de sobrescritura evita que Windows se cargue normalmente, así como también evita el acceso al Modo seguro.

Una vez que Petya ha sobrescrito el MBR, encripta la MFT, un archivo que se encuentra en las particiones NTFS que contiene información crítica sobre todos los demás archivos de la unidad. Petya entonces fuerza un reinicio del sistema. Al reiniciar, el usuario encuentra un falso escaneo CHKDSK. Si bien el escaneo parece garantizar la integridad del volumen, lo contrario es cierto. Cuando se completa el CHKDSK y Windows intenta cargar, el MBR modificado mostrará un cráneo ASCII con un ultimátum para pagar un rescate, generalmente en Bitcoin.

El precio de recuperación es de aproximadamente $ 385, aunque esto puede cambiar según el tipo de cambio de Bitcoin. Si el usuario decide ignorar la advertencia, el rescate de Bitcoin se duplica. Si el usuario continúa resistiendo el intento de extorsión, el autor del ransomware Petya eliminará la clave de cifrado.

Misión Hack-Petya

Donde los diseñadores de ransomware suelen ser extremadamente cuidadosos al elegir el cifrado, el autor de Petya “resbaló.” Un programador no identificado descubrió cómo descifrar el cifrado de Petya después de una “La visita de Pascua a mi suegro me metió en este lío.”

El crack es capaz de revelar la clave de cifrado necesaria para desbloquear el registro de arranque maestro cifrado, liberando los archivos de sistema cautivos. Para recuperar el control de los archivos, los usuarios primero deberán retirar el disco duro infectado de la computadora y adjuntarlo a otra computadora que funcione. Luego pueden extraer una serie de cadenas de datos para ingresar a la herramienta.

Extraer los datos es difícil y requiere herramientas y conocimientos especializados. Afortunadamente, el empleado de Emsisoft, Fabian Wosar, creó una herramienta especial para aliviar este problema. “El descifrado real más fácil de usar.” Puedes encontrar el Petya Sector Extractor aquí. Descargue y guárdelo en el escritorio de la computadora que se está utilizando para la corrección.

¿Podrían los "periodistas" por favor empezar a hacer su tarea? No soy responsable de que Petya sea descifrable. Crédito @leo_and_stone.

- Fabian Wosar (@fwosar) 15 de abril de 2016

La herramienta de Wosar extrae los 512 bytes requeridos para la grieta de Petya., “a partir del sector 55 (0x37h) con un desplazamiento de 0 y el nonce de 8 bytes desde el sector 54 (0x36) offset: 33 (0x21).” Una vez que se extraen los datos, la herramienta los convertirá a la codificación Base64 necesaria. Luego se puede ingresar en el sitio web de petya-no-pay-ransom.

Simplemente proporcioné una pequeña herramienta de ~ 50 líneas que hace que el descifrado real sea más fácil de usar.

- Fabian Wosar (@fwosar) 15 de abril de 2016

Una vez que haya generado la contraseña de descifrado, escríbala. Ahora deberá reemplazar el disco duro y luego iniciar el sistema infectado. Cuando aparezca la pantalla de bloqueo de Petya, puede ingresar su clave de descifrado.

Aquí puede encontrar un tutorial detallado sobre la extracción de cadenas de datos, cómo ingresar los datos convertidos en el sitio web y cómo generar la contraseña de descifrado..

Descifrado para todos?

La combinación del crack de encriptación de leo-stone y Petya Sector Extractor de Fabian Wosar hace que sea una lectura feliz. Cualquier persona con el conocimiento técnico para buscar una solución para sus archivos cifrados puede tener la oportunidad de recuperar el control de sus datos..

Ahora, la solución se ha simplificado, aquellos usuarios sin un montón de conocimientos técnicos podrían llevar su sistema infectado a un taller de reparación local e informar a los técnicos de lo que deben hacer, o al menos de lo que creen que debe hacer..

Sin embargo, incluso como el camino a la fijación esta La variante de ransomware se ha vuelto mucho más fácil, el ransomware sigue siendo un problema enorme y en constante desarrollo que enfrenta cada uno de nosotros. El ransomware sigue creciendo: ¿Cómo puede protegerse? El ransomware sigue creciendo: ¿cómo puede protegerse? Lee mas . Y, a pesar de que la ruta es más fácil de encontrar y más fácil de seguir, los autores de ransomware saben que hay una gran mayoría de usuarios que simplemente no tendrán ninguna esperanza de descifrar los archivos, su única posibilidad de recuperación a través de Bitcoin frío, duro e imposible de rastrear.

A pesar de su codificación inicial paso en falso, Estoy seguro de que los autores de Petya ransomware no están sentados, sintiendo pena por sí mismos. Ahora que este método de descifrado y crack está ganando terreno, es probable que estén trabajando en la actualización de su código para deshabilitar la solución, cerrando la puerta a la recuperación de datos una vez más.

¿Has sido una víctima de ransomware? ¿Logró recuperar sus archivos o pagó el rescate? Háganos saber a continuación!

Explorar más sobre: ​​ransomware.