Criptografia do Ransomware Petya Quebrada – Recupere seus arquivos sem pagar resgate
Um indivíduo chamado Leostone, via Twitter, publicou que foi capaz de criar um algoritmo que pode realizar a criptoanálise da senha gerada para codificar o Petya, que bloqueia o acesso aos dados do computador. O algoritmo é capaz de gerar a senha em 7 segundos. É interessante, pois se em uma semana esse malware foi decifrado, então em quanto tempo será a criptografia do whatsapp?
O Leostone disponibilizou um site ( https://petya-pay-no-ransom.herokuapp.com/ ) que a vítima infectada pode usar para gerar a chave de decriptação ao fornecer algumas informações sobre o drive infectado. Para tanto é necessário irá ser necessário conectar o drive infectado a outro computador e extrair alguns dados. Os dados que necessitam ser extraídos são os 512 bytes do começo do setor 55 (0x37h), com um deslocamento de 0 e o nonce de 8 bytes do setor 54 (0x36), deslocamento 33 (0x21).
Esse dado precisa ser convertido na Base64 de codificação e usado no site descrito acima.
Para muitos usuários pode ser difícil a extração dos dados, e nesse sentido o usuário, Fabian Wosar, do Twitter, criou uma ferramenta especial para facilitar a execução da tarefa. Para usar a ferramenta é necessário remover o drive afetado do computador infectado e o conectar em um computador que esteja funcionando corretamente. Se o computador infectado possui diversos drives deve se remover apenas o drive que realiza o boot, C:\.
Uma vez que o drive infectado esteja devidamente conectado a um computador íntegro faça simplesmente o download do Extrator de Setor do Petya e o salve no desktop. Ele está disponível em: http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip. Após salvar, extraia e execute o programa PetyaExtractor.exe. Assim que o programa executar ele irá escanear todos os dispositivos removíveis e corrigir os drives que contenham o código de boot do Petya Ransomware.
Abra o navegador da internet e acesse o site https://petya-pay-no-ransom.herokuapp.com/, onde será encontrado duas caixas chamadas Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce. De forma a gerar a sua chave de decriptação será necessário obter os dados descritos acima.
Após a execução dos passos a senha deve ser anotada e o drive infectado deve ser conectado novamente ao computador comprometido. Ao ser iniciado, quando for exibida a tela do Petya Ransomware insira a senha gerada. A senha será aceita e o ransomware irá começar a descriptografar os seus dados.
fonte: http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/