Ransomware NotPetya no Petya

PETYA

Un nuevo ataque de ransomware afecta de nuevo a los sistemas Windows, provocando grandes perdidas a muchas empresas, victimas de este ataque. Despues del ataque de ransomware WannaCry se espera que muchas empresas asi mismo como usuarios crearan conciencia de la importancia de la seguridad, lo cual al parecer no sucedio.

De acuerdo a diversos reportes son mas de 80 empresas afectadas por este ransomware, mientras que los países afectados como Reino Unido, Estados Unidos, Francia, Rusia, España, India y Ucrania,

Petya infecta de manera distinta a los sistemas, pues este ransomware, no cifra todos los archivos del sistema, lo que este ransomware hace es reiniciar el sistema y cifrar la tabla maestra de arranque haciendo imposible el acceso al sistema Windows. De igual manera que WannaCry infecta todos los sistemas conectados en la misma red.

Petya se propago por medio de una campaña de SPAM dirigida a organizaciones de recursos humanos por medio de correos electrónicos con solicitudes de empleo. Los correos maliciosos contenían un link a un archivo en DropBox el cual era un Dropper, el cual descargaba el ransomware petya.

Actualmente este ransomware fue descubierto en el 2016 bajo el nombre de petya, sin embargo en este nuevo ataque los investigadores lo han bautizado como NotPetya

Una vez instalado, el ransomware sobrescribe los primeros sectores del disco, incluyendo el MBR (Master Boot Record), y realiza un respaldo cifrado con XOR. A continuación fuerza el reinicio de Windows y muestra una falsa pantalla de chequeo del disco (CHKDSK) mientras que, en segundo plano, cifra la MFT (Master File Table). Sin acceso a la MFT, el sistema operativo no tendrá la información de los archivos de su volumen (nombre, tamaño y el mapeo de sectores del disco duro) y al arrancar la víctima se encontrará con una desagradable sorpresa:

@MaerskLine en sus terminales @APMTerminals.

No hay texto alternativo automático disponible.

Archivos cifrados por PETYA

Crackean Ransomware PETYA

Un investigador de Malwarebytes descubrió que el malware cifraba el MBR simplemente con XOR y el carácter ASCII 7 (0x37 en hexadecimal). Posteriormente publico una herramienta la cual permite recuperar la clave en la fase 1, es decir antes de que el sistema se reinicie.

Puedes descargar el binario y código Fuente:
binario / código fuente.

Hace no mucho, un anonimo bajo el nickname de leostone logro crackear la segunda fase, siendo capaz de encontrar la clave usada por Petya para cifrar la MBR en sólo unos segundos. A grandes rasgos el código de su herramienta re-implementa el algoritmo de hashing usado para generar la clave, un algoritmo Salsa pero que opera en 16 bits en lugar de 32 y sólo aleatoriza la matriz 10 veces.

Codigo en Github

https://github.com/leo-stone/hack-petya

Para el funcionamiento de la herramienta es necesario extraer del disco infecta lo siguiente:

Sector de verificación de cifrado: 512-bytes (sector 55 [0x37] offset: 0 [0x0])
Nonce: 8-bytes (sector 54 [0x36] offset: 33 [0x21])

Y convertirlos a base64. Para extrar lo anterior podemos usar el software "Petya Sector Extractor" creado por Fabian Wosar.

Petya Sector Extractor

Petya Sector Extractor [ DESCARGAR ]

Posteriormente ya con la informacion obtenida, se ejecuta el script en go, pegando los datos en src.txt y nonce.txt respectivamente. Tambien se pueden usar los siguientes sitios web, para generar la clave:

https://petya-pay-no-ransom.herokuapp.com/

https://petya-pay-no-ransom-mirror1.herokuapp.com/