Como Desencriptar o Ransomware Petya sem pagar

0

O Ransomware tem aumentado dramaticamente nos últimos anos e é actualmente uma das maiores ameaças na Internet.

As infecções por Ransomware tornaram-se tão sofisticadas com o tempo que as vitimas começaram a pagar os regastes para recuperar os seus dados críticos e sensíveis de volta.

Mas se for infectado pelo Ransomware Petya, temos boas noticias para si.

Pode desbloquear o computador infectado sem ter de pagar o resgate. Graças ao autor do Petya que deixou um bug no código do Ransomware.

O que é o Ransomware Petya?

O Petya é um Ransomware bastante engenhoso que surgiu há cerca de duas semanas e trabalha de forma muito diferente dos outros Ransomwares.

O Ransomware atinge as vitimas reiniciando os seus computadores Windows, e encriptando o ficheiro master boot do disco, e tornando o master boot record do disco inoperável.

O Master Boot Record (MBR) é a informação no primeiro sector de cada disco que identifica como e onde o Sistema Operativo (OS) fica localizado e o ficheiro master boot é um ficheiro que existe nos volumes NTFS que inclui o nome, tamanho e localização de todos os outros ficheiros.

Uma vez atacado, o PC infectado reinicia e o código do ransomware Petya arranca em vez do sistema operativo, apresentando uma nota de resgate que exige 0.9 Bitcoin (apróx. 344€) em troca da chave de desencriptação para recuperar os seus ficheiros.

Agora, sem a chave de encriptação, o PC infectado não irá arrancar, fazendo com que todos os ficheiros no disco fiquem inacessíveis.

No entanto, um pesquisador que dá pelo Twitter handle @leostone desenvolveu uma ferramenta que gera a chave que o Petya necessita para desbloquear o Ficheiro Master Boot.

Eis como desbloquear os Ficheiros Infectados pelo Petya de Borla

O pesquisador descobriu a fragilidade no design do vil malware depois do Petya ter infectado o PC do seu sogro.

De acordo com o pesquisador de segurança Lawrence Abrams do Bleeping Computer, a ferramenta geradora de chaves desenvolvida por Leostone poderia desbloquear um PC encriptado pelo Petya em apenas 7 segundos.

Para utilizarem a ferramenta geradora de chaves de Leostone, as vitimas têm de tirar o disco principal do PC afectado pelo Petya e conecta-lo a outro computador com Windows não infectado.

A vitima depois preciso de extrair dados dos disco, nomeadamente:

• O ficheiro base-64-encoded de 512 bytes que começa no sector 55 (0x37h) com o offset 0.
• O ficheiro 64-bit-encoded de 8-byte do sector 54 (0x36) com o offset 33 (0x21).

Estes dados depois necessitam de ser utilizados nesta Web app (site mirror) criado por Leostone para gerar a chave. A vitima irá depois receber a chave do Petya utilizada para desencriptar o ficheiro crucial.

Aqui está uma Ferramenta Simples para Desbloquear os Seus Ficheiros de Borla

Como a ferramenta de Leostone não é uma ferramenta com um método simples, extrair os dados encriptados pode não ser fácil para muitas vitimas.

As boas notícias é que Fabian Wosar, um pesquisador independente, criou uma ferramenta gratuita chamada Petya Sector Extractor que pode ser utilizada para extrair facilmente os dados em segundos.

Para utilizar o Petya Sector Extractor, as vitimas têm de correr a ferramenta num computador Windows não infectado que esteja ligado ao disco infectado do computador afectado.

Abrams providenciou um guia passo-a-passo (em Inglês) que irá ajudar as vitimas a seguirem o processo.

Esta é uma grande solução para desencriptar os seus ficheiros infectados, os autores do Petya já ouviram falar desta ferramenta e estão a modificar o código deles para não poder ser utilizada. Portanto, não existe garantia de a ferramenta ir funcionar indefinidamente.

[The Hacker News]

Leave A Reply