Hagamos memoria: Petya (GoldenEye
siendo una de sus variantes) es un crypto-ransomware conocido desde marzo de
2016. Recordamos que un crypto-ransomware cifra archivos del usuario y pide un
rescate por descifrarlos.
Técnicamente, Petya se caracteriza
porque su principal forma de secuestro es cifrar la MFT (índice de archivos en
disco), en vez de cifrar los archivos uno a uno como habitualmente (algunas
versiones de Petya también tienen esta opción). Curiosamente, más que ser
conocido por la versión del autor original, es más famoso por EternalPetya, una
versión pirateada (sí, se piratea malware) que afectó principalmente a Ucrania.
Tuvo bastante más tirón mediático porque se sospecha que fue un ataque con
motivación política.
La noticia es que para las versiones
originales de Petya, el autor ha publicado su clave privada, lo que permite
descifrar los archivos de las víctimas. @hsherezade, una investigadora
independiente en seguridad de la información, ha publicado una herramienta que
usa la clave publicada para descifrar los archivos. La herramienta está en
versión beta, y como siempre se recomienda antes de intentar el descifrado, lo
ideal es hacer una copia de seguridad del original cifrado por si el proceso de
descifrado falla e inutiliza definitivamente nuestros archivos.
Las versiones descifrables son las
siguientes:
1. Red Petya
2. Green Petya (ambas
versiones)
3. GoldenEye Petya
Todas las versiones se reconocen
fácilmente porque el nombre hace referencia al color del aviso que notifica la
infección (rojo, verde o dorado/amarillo). Este blog detalla con capturas de
pantalla cada una de las versiones comentadas, así como algunas versiones no
oficiales (que no son descifrables por esta herramienta).
El enlace a la herramienta que
descifra las versiones originales de Petya:
La herramienta está publicada en
código fuente, por lo que es necesario compilarla antes de usarla.
Más información:
·
The
key to old Petya versions has been published by the malware autor https://blog.malwarebytes.com/cybercrime/2017/07/the-key-to-the-old-petya-has-been-published-by-the-malware-author/
·
Keeping
up with the Petyas: Demystifying the malware family https://blog.malwarebytes.com/cybercrime/2017/07/keeping-up-with-the-petyas-demystifying-the-malware-family/
Fuente: Hispasec