Categorias

Especialistas quebram a criptografia do ransomware que encriptava o setor de boot do PC

Um raro caso de ransomware que termina com um final feliz: especialistas de segurança conseguiram quebrar a criptografia do Petya, o vírus que encriptava o setor de inicialização e a tabela de arquivos do HD.

O ataque identificado pela primeira vez no final de Março, tornava o uso do PC completamente impossível, a menos que a vítima pagasse um resgate aos seus criadores ou formatasse o HD.

Um herói desconhecido que utiliza o nome de leostone no Twitter decifrou a forma como funciona a chave que libera o acesso aos dados do Petya e criou um algoritmo capaz de gerar essa chave sem que seja necessário pagar pelo resgate. A informação foi confirmada pelos especialistas do site BleepingComputer.com. O trabalho colaborativo foi concluído por Fabian Wosar, da empresa de segurança Emsisoft, que criou uma ferramenta para agilizar o processo.

O procedimento é complexo, mas restaura o PC afetado de volta ao seu estado natural. O ransomware Petya é induzido a acreditar que uma senha “oficial” foi inserida e “liberta” o refém. Como o disco rígido afetado não inicia o sistema operacional, a vítima deve remover fisicamente o HD e acoplá-lo em outro computador que esteja operacional.

A seguir, o usuário deve baixar a ferramenta criada por Wosar e disponibilizada gratuitamente no site Bleeping Computer. O programa é capaz de capturar duas sequências de dados encriptados dentro do HD, nas localizações específicas para que o algoritmo funcione.

No terceiro passo, a vítima precisa visitar o endereço eletrônico https://petya-pay-no-ransom.herokuapp.com ou https://petya-pay-no-ransom-mirror1.herokuapp.com/ e inserir as sequências de dados solicitadas nos campos correspondentes, de acordo com a imagem abaixo:

petya-required-info

A página web irá gerar uma sequência de caracteres que é a chave de desbloqueio do disco rígido contaminado, conforme a imagem abaixo:

petya-key

Por último, a vítima deve recolocar o HD afetado de volta ao seu lugar e tentar reiniciar o sistema. Deverá aparecer a tela do ransomware solicitando a prova do pagamento do resgate. A chave obtida anteriormente deve ser inserida e o Petya devolverá o disco rígido ao seu estado normal, após um novo reboot.

Uma descrição mais detalhada do procedimento está disponível no site da Bleeping Computers.