¡Adiós, adiós Petya! Desencriptador para versiones antiguas.


Tras el estallido del malware basado en Petya en Ucrania, el autor de la versión original, Janus, decidió liberar su clave maestra, probablemente cerrando el proyecto. Puedes leer la historia completa aquí .

Basándonos en la clave liberada, preparamos un descifrador que es capaz de desbloquear todas las versiones legítimas de Petya ( lea más sobre la identificación de Petyas ):

  • Red Petya
  • Green Petya (ambas versiones) + Mischa
  • Goldeneye (bootlocker + archivos)



En caso de que usted tenga una copia de seguridad del disco cifrado por Petya, este es el momento de sacarlo de la estantería y darle un beso a su Petya y decirle adiós 

ADVERTENCIA: Durante nuestras pruebas descubrimos que en algunos casos Petya puede colgar el sistema durante el descifrado, o causar otros problemas potencialmente dañinos a sus datos. Por eso, antes de cualquier intento de descifrado, le recomendamos realizar una copia de seguridad adicional.

// Gracias especiales a @ Th3PeKo , @vallejocc y Michael Meyer por toda la ayuda en las pruebas!


Variantes del ataque

Como sabemos, dependiendo de la versión de Petya puede atacar sus datos de dos maneras:

1 - en un nivel bajo, encriptando su tabla de archivos maestros. Por ejemplo:


2 - en un nivel alto, cifrando sus archivos uno por uno (como un ransomware típico). Por ejemplo:


Afortunadamente, la clave liberada permite la recuperación en ambos casos. Sin embargo, el proceso de descifrado se verá un poco diferente.

Decriptores

Hemos preparado dos diferentes compilaciones de la herramienta de recuperación, para apoyar necesidades específicas:

  • Un CD live
  • Un ejecutable de Windows



En ambos casos, la herramienta descifra la clave individual del identificador de víctima.

Después de obtener la clave, puede usar los descifradores originales para recuperar sus archivos. Puede encontrar los enlaces aquí:

Para Mischa: https://drive.google.com/open?id=0Bzb5kQFOXkiSWUZ6dndxZkN1YlE
Para Goldeneye: https://drive.google.com/open?id=0Bzb5kQFOXkiSdTZkUUYxZ0xEeDg

EXENCIÓN DE RESPONSABILIDAD: Estas herramientas se proporcionan tal cual y las estás utilizando bajo tu propio riesgo. No somos responsables de cualquier daño o pérdida de datos.

Desbloquear el encriptador de arranque

En ambos casos, puede obtener la clave de su Petya utilizando un archivo ejecutable de Windows y suministrándole su ID de víctima. Se han dado instrucciones detalladas aquí y en el siguiente video:



Sin embargo, las identificaciones de las víctimas son muy largas, y volverlas a escribirlas puede ser doloroso y propenso a errores. Por eso, preparamos una alternativa: un LiveCD que lo leerá automáticamente desde el disco cifrado. Para usarlo, necesitas descargar la ISO y arrancar desde ella tu máquina infectada. A continuación, siga las instrucciones mostradas:

https://youtu.be/wwsQropG2JA

Después de obtener la clave, puede usarla para descifrar su tabla de archivos maestro:

youtu.be/7VWNQasU1VQ

Descifrar los archivos

En caso de que sus archivos hayan sido encriptados, es decir, por Goldeneye o Mischa, puede usar el descifrador de clave liberado en forma de un archivo ejecutable de Windows .

Encuentre su ID de víctima ("código de descifrado personal"). En tu nota de rescate:


En caso de que si no tiene la nota, puede encontrar el ID añadido al final de cualquiera de sus archivos cifrados:


2. Guarde el ID en un archivo:


3. Utilice nuestra herramienta para descifrar su clave:


3. Copie la clave obtenida. Descargue el decryptor original, apropiado para su versión:

Para Mischa: https://drive.google.com/open?id=0Bzb5kQFOXkiSWUZ6dndxZkN1YlE

Para Goldeneye: https://drive.google.com/open?id=0Bzb5kQFOXkiSdTZkUUYxZ0xEeDg

Elija uno de sus archivos cifrados:


Suministre la clave obtenida del decodificador:


Descifrar el archivo y comprobar si la salida es válida. Si todo está bien, puede usar la misma clave para descifrar el resto de sus archivos. Suministre la extensión al descifrador, y los encontrará automáticamente:


Conclusión

Las herramientas presentadas le permiten desbloquear todas las versiones legítimas de Petya que son liberadas hasta ahora por Janus Cybercrime Solutions. No puede ayudar a las víctimas de Petyas piratas, como PetrWrap o EternalPetya (alias NotPetya). Corresponde al anuncio hecho por Janus en twitter:


¿Es el final de la historia de Petya? Probablemente sí, sin embargo, el tiempo lo dirá.