Ya es posible recuperar los datos cifrados con Petya, el ransomware que está provocando más quebraderos de cabeza en las últimas semanas.

Los ransomware son el tipo de malware más perjudicial que podemos encontrarnos ahora mismo, ya que su objetivo no solo es fastidiarnos, sino también ganar dinero con ello.

Cuando un ransomware entra en nuestro sistema, lo primero que hace es acceder a nuestros datos y cifrarlos; a continuación muestra un mensaje que nos avisa de que si queremos recuperar nuestros datos, tendremos que pagar a su creador para que nos de la constraseña, normalmente con Bitcoin para que sea imposible rastrear la transferencia.

Ransomware, el malware de moda

Hay muchas variedades de ransomware ahí fuera, y en Omicrono ya hemos hablado en más de una ocasión de ellas.

En todos los casos, los consejos son los mismos: ten cuidado con lo que ejecutas, y si tu ordenador acaba infectado, nunca realices el pago, porque normalmente la contraseña nunca llega y el creador del ransomware huye con nuestro dinero. Si tienes suerte, es posible que alguien haya encontrado un bug que permita descifrar tus archivos.

Petya, la pesadilla que cifra nuestro disco duro

Pero entonces llegó Petya, el malware más temible de los últimos tiempos. Este ransomware no se conforma con cifrar nuestros archivos, sino que bloquea el acceso al disco duro entero, instalándose en la sección de arranque de tal manera que es imposible de quitar sin cargarnos el arranque del sistema.

En concreto, Petya cifra la tabla maestra de archivos, o MFT, usada en particiones formateadas en NTFS (el sistema de archivos por defecto en Windows). En la MFT está guardada una lista con todos los archivos que están en la partición, que el sistema operativo consulta cuando le pedimos que abra o busque un archivo, por ejemplo.

petya ransomware 1

Así que al cifrar el MFT, Petya cifra de manera efectiva todo el disco duro, y lo vuelve inservible; por supuesto, nos pide pagar una cierta cantidad para recuperar nuestros archivos (aproximadamente 300-400 € en Bitcoin). Toda una pesadilla para muchos usuarios, que finalmente ha llegado a su fin, gracias a dos herramientas que han sido liberadas.

Cómo recuperar los datos cifrados con Petya

Como explica Bleeping Computer, ya es posible recuperar los datos cifrados con Petya, gracias a un bug que ha sido descubierto y que permite revelar la contraseña que necesitamos introducir para descifrar la MFT. El proceso de recuperación es muy complicado, y conlleva obtener unos bytes concretos del disco duro, donde está almacenada la contraseña.

Afortunadamente con estas dos herramientas no tendremos que hacer el proceso manualmente, aunque antes de usarlas tendremos que seguir algunos pasos:

1- Prepara el disco duro infectado

Primero de todo, necesitarás otro ordenador al que conectar el disco duro infectado (o SSD). Eso supone que tendrás que abrir el ordenador, desconectar el disco duro (si tienes varios, sólo el que corresponde a C:\) y conectarlo a otro ordenador que no esté infectado.

disco-duro

Puedes hacer esto abriendo el otro ordenador, o usando una base de conexión SATA que nos permitirá conectar el disco duro por USB.

dock disco duro

2- Obtén el sector cifrado de tu disco duro

Descarga el programa Petya Sector Extractor, que te permitirá extraer el sector en el que está guardada la contraseña que necesitas. Es muy posible que tu antivirus bloquee la descarga de Petya Sector Extractor por el nombre “Petya”, pero eso no significa que tenga un virus.

Una vez que lo hayas descargado el programa, ejecútalo y escaneará todos los discos duros en busca del ransomware. Cuando lo encuentre, te mostrará una pantalla como esta:

petya ransomware 3

3- Descifra la contraseña

Ahora accede a esta página web que nos permitirá descifrar la contraseña. Verás que hay dos recuadros de texto.

petya ransomware 7

Para usar la web, primero tienes que cambiar a Petya Sector Extractor y pulsar en el botón Copy Sector; a continuación ve a la página web y en el primer recuadro, “Base64 encoded 512 bytes verification data”, pega el contenido del portapapeles, con Ctrl + V o con el botón derecho del ratón y “pegar”.

Ahora cambia a Petya Sector Extractor y pulsa en el botón “Copy Nonce”; ve a la página web y en el segundo recuadro, “Base64 encoded 8 bytes nonce”, pega el contenido del portapapeles de la misma manera.

petya ransomware 4

Por último, pulsa en “Submit”.

4- Obtén y usa la contraseña

La web puede tardar un poco en descifrar el código, pero cuando termine te mostrará la contraseña. Asegúrate de copiarla en un papel, smartphone o tablet (no en el ordenador que estás usando, claro).

petya ransomware 5

Apaga el ordenador, saca tu disco duro, y vuelve a instalarlo en su ordenador. Enciéndelo y te aparecerá de nuevo la pantalla de Peyta que te pide pagar para descifrar tus archivos; verás que más abajo puedes introducir la contraseña.

petya ransomware 6

Introduce la contraseña que has copiado, y pulsa Intro; el programa empezará a descifrar tus archivos, un proceso que puede tardar un poco. Cuando termine, reinicia el ordenador y todo habrá vuelto a la normalidad.

5- Asegúrate de que no vuelve a pasar

De nada sirve todo esto si tu ordenador vuelve a infectarse. Primero de todo, consigue un buen antivirus y pasa un escáner a tu ordenador; además, a partir de ahora deberías tener más cuidado y nunca ejecutar archivos sospechosos o cuya procedencia desconozcas.