Cómo recuperar los datos cifrados por Petya, el ransomware que cifra nuestro disco duro
Te contamos cómo recuperar los datos cifrados con Petya, el ransomware que cifra nuestro disco duro.
12 abril, 2016 22:41Noticias relacionadas
- Los datos de casi todos los ciudadanos de Bulgaria han sido robados
- En Japón ya tienen "consignas para redes sociales", que te bloquean la cuenta el tiempo que quieras desconectar
- Por primera vez, un servicio de música online promete la calidad de sonido de los máster
- El inventor de la contraseña en los ordenadores muere a los 93 años
Ya es posible recuperar los datos cifrados con Petya, el ransomware que está provocando más quebraderos de cabeza en las últimas semanas.
Los ransomware son el tipo de malware más perjudicial que podemos encontrarnos ahora mismo, ya que su objetivo no solo es fastidiarnos, sino también ganar dinero con ello.
Cuando un ransomware entra en nuestro sistema, lo primero que hace es acceder a nuestros datos y cifrarlos; a continuación muestra un mensaje que nos avisa de que si queremos recuperar nuestros datos, tendremos que pagar a su creador para que nos de la constraseña, normalmente con Bitcoin para que sea imposible rastrear la transferencia.
Ransomware, el malware de moda
Hay muchas variedades de ransomware ahí fuera, y en Omicrono ya hemos hablado en más de una ocasión de ellas.
En todos los casos, los consejos son los mismos: ten cuidado con lo que ejecutas, y si tu ordenador acaba infectado, nunca realices el pago, porque normalmente la contraseña nunca llega y el creador del ransomware huye con nuestro dinero. Si tienes suerte, es posible que alguien haya encontrado un bug que permita descifrar tus archivos.
Petya, la pesadilla que cifra nuestro disco duro
Pero entonces llegó Petya, el malware más temible de los últimos tiempos. Este ransomware no se conforma con cifrar nuestros archivos, sino que bloquea el acceso al disco duro entero, instalándose en la sección de arranque de tal manera que es imposible de quitar sin cargarnos el arranque del sistema.
En concreto, Petya cifra la tabla maestra de archivos, o MFT, usada en particiones formateadas en NTFS (el sistema de archivos por defecto en Windows). En la MFT está guardada una lista con todos los archivos que están en la partición, que el sistema operativo consulta cuando le pedimos que abra o busque un archivo, por ejemplo.
Así que al cifrar el MFT, Petya cifra de manera efectiva todo el disco duro, y lo vuelve inservible; por supuesto, nos pide pagar una cierta cantidad para recuperar nuestros archivos (aproximadamente 300-400 € en Bitcoin). Toda una pesadilla para muchos usuarios, que finalmente ha llegado a su fin, gracias a dos herramientas que han sido liberadas.
Cómo recuperar los datos cifrados con Petya
Como explica Bleeping Computer, ya es posible recuperar los datos cifrados con Petya, gracias a un bug que ha sido descubierto y que permite revelar la contraseña que necesitamos introducir para descifrar la MFT. El proceso de recuperación es muy complicado, y conlleva obtener unos bytes concretos del disco duro, donde está almacenada la contraseña.
Afortunadamente con estas dos herramientas no tendremos que hacer el proceso manualmente, aunque antes de usarlas tendremos que seguir algunos pasos:
1- Prepara el disco duro infectado
Primero de todo, necesitarás otro ordenador al que conectar el disco duro infectado (o SSD). Eso supone que tendrás que abrir el ordenador, desconectar el disco duro (si tienes varios, sólo el que corresponde a C:\) y conectarlo a otro ordenador que no esté infectado.
Puedes hacer esto abriendo el otro ordenador, o usando una base de conexión SATA que nos permitirá conectar el disco duro por USB.
2- Obtén el sector cifrado de tu disco duro
Descarga el programa Petya Sector Extractor, que te permitirá extraer el sector en el que está guardada la contraseña que necesitas. Es muy posible que tu antivirus bloquee la descarga de Petya Sector Extractor por el nombre “Petya”, pero eso no significa que tenga un virus.
Una vez que lo hayas descargado el programa, ejecútalo y escaneará todos los discos duros en busca del ransomware. Cuando lo encuentre, te mostrará una pantalla como esta:
3- Descifra la contraseña
Ahora accede a esta página web que nos permitirá descifrar la contraseña. Verás que hay dos recuadros de texto.
Para usar la web, primero tienes que cambiar a Petya Sector Extractor y pulsar en el botón Copy Sector; a continuación ve a la página web y en el primer recuadro, “Base64 encoded 512 bytes verification data”, pega el contenido del portapapeles, con Ctrl + V o con el botón derecho del ratón y “pegar”.
Ahora cambia a Petya Sector Extractor y pulsa en el botón “Copy Nonce”; ve a la página web y en el segundo recuadro, “Base64 encoded 8 bytes nonce”, pega el contenido del portapapeles de la misma manera.
Por último, pulsa en “Submit”.
4- Obtén y usa la contraseña
La web puede tardar un poco en descifrar el código, pero cuando termine te mostrará la contraseña. Asegúrate de copiarla en un papel, smartphone o tablet (no en el ordenador que estás usando, claro).
Apaga el ordenador, saca tu disco duro, y vuelve a instalarlo en su ordenador. Enciéndelo y te aparecerá de nuevo la pantalla de Peyta que te pide pagar para descifrar tus archivos; verás que más abajo puedes introducir la contraseña.
Introduce la contraseña que has copiado, y pulsa Intro; el programa empezará a descifrar tus archivos, un proceso que puede tardar un poco. Cuando termine, reinicia el ordenador y todo habrá vuelto a la normalidad.
5- Asegúrate de que no vuelve a pasar
De nada sirve todo esto si tu ordenador vuelve a infectarse. Primero de todo, consigue un buen antivirus y pasa un escáner a tu ordenador; además, a partir de ahora deberías tener más cuidado y nunca ejecutar archivos sospechosos o cuya procedencia desconozcas.