No pague el rescate, NO conseguirá sus archivos

A los usuarios infectados se les aconseja que no paguen el rescate. Los delincuentes detrás de Petya no pueden recibir los correos electrónicos porque el proveedor alemán suspendió la dirección [email protected], que era utilizada por los criminales para comunicarse con las víctimas.

Desbloquear los archivos afectados de forma gratuita

El investigador Lawrence Abrams de Bleeping Computer descubrió una debilidad en el diseño del malware y con una herramienta generadora de claves desarrollada por Leostone se podría desbloquear una PC con cifrado Petya en sólo 7 segundos.

Para poder utilizar la herramienta, las víctimas deben eliminar la unidad de inicio (MBR) del sistema afectado por Petya y conectar el disco a otro equipo con Windows (que no esté infectado).

Entonces se pueden extraer datos del disco rígido, específicamente:

• Los 512 bytes codificados en base 64 que comienzan en el sector 55 (0x37h) con un desplazamiento de 0.
• El nonce de 8 bytes codificado de 64 bits del sector 54 (0x36) desplazado 33 (0x21).

Estos datos deben ser utilizados en esta aplicación (mirror) creada por Leostone para generar la clave. La víctima recuperará entonces la clave Petya y podrá usarla para descifrar sus archivos.
Dado que la herramienta de Leostone no es un método directo, Fabian Wosar, un investigador independiente, ha creado una herramienta gratuita llamada Petya Sector Extractor, que puede usarse para extraer fácilmente los datos en segundos. Las víctimas deben ejecutar la herramienta en un equipo Windows no infectado con el disco infectado conectado. Abrams proporcionó este tutorial de todo el proceso.