El “ransomware” no es realmente un virus, sino un caballo de Troya, el cual no es otra cosa que un programa que se introduce sin permiso en nuestros equipos y encripta archivos de datos, de texto, documentos, hojas de cálculo, etcétera. La idea es entonces poner un mensaje advirtiendo que si no se paga una cantidad de dólares determinada (en bitcoins para hacer prácticamente intratable la búsqueda de los extorsionadores), en un tiempo fijo (72 horas, 48 horas, 24 horas), los datos del usuario quedarán codificados y es tal el esquema de encripción usado, que sin la clave -que tienen los perversos programadores- estos datos se habrán perdido para siempre.
Uno de los últimos programas maliciosos es el llamado Petya ransomware y la imagen que ilustra este artículo es como s ve la computadora cuando a alguien le cae este código malicioso. Sin embargo, los expertos en seguridad han encontrado un método para que los usuarios puedan recobrar sus datos de computadoras que contengan Petya sin tener que pagarles ni un peso a los cibercriminales.
Petya apareció el mes pasado cuando los criminales lo distribuyeron a las compañías usando correo spam que se enmascaraba como si se tratara de una oferta de trabajo. La particularidad de Petya es que el código encripta el MBR (Master Boot Record), que es donde está la información que permite decirle al sistema qué hacer cuando se enciende la máquina y por ende, no se puede rearrancar la máquina para que entre el sistema operativo.
El programa reemplaza el código legítimo de MBR con código que encripta la MFT (master file table), y en lugar de los archivos aparece la nota pidiendo rescate. El MFT es un archivo especial en los volúmenes NTFS que contiene precisamente la información de los archivos que residen en el disco, incluyendo el mapeo a los sectores del propio disco duro.
A diferencia de otros esquemas ransomware, este no codifica los archivos del usuario, pero sin el MFT, el sistema operativo no puede saber dónde se localizan los archivos en el disco. Si acaso se usan herramientas para recuperar los archivos, como estos sistemas asumen algunas cosas normalmente para poder realizar sus procesos de recuperación, las cosas no necesariamente salen bien y en el mejor de los casos, hay que usar mucho tiempo en estas tareas, lo cual termina siendo incluso enfadoso.
Sin embargo, alguien halló un algoritmo para romper la llave que codifica el MBR y restaurar el MFT para poderse recobrar de Petya. Quienes han probado la idea (BleepingComputer.com), confirmaron que la técnica trabaja, pero requiere extraer algunos datos del disco duro afectado. Fabian Woser, de la firma de seguridad Emsisoft, creó un programa muy simple (y gratuito), para computadoras que no pueden arrancar por culpa de esta infección cibernética. Debido a que la computadora infectada no puede arrancar, hay que usar la herramienta en otra máquina, conectando el disco afectado. Y entonces se puede usar el programa en cuestión.
Los datos extraídos por la herramienta pueden ponerse como entrada en la aplicación web creada por LeoStone que será usada para romper la llave. El usuario debe poner entonces el disco original infectado en la computadora primera, arrancar de este y escribir la clave que aparece en la pantalla que despliega Petya.
Una vez que el disco duro es desencriptado, el mismo ransomware le pedirá que arranque el sistema, el cual debe funcionar ya correctamente.
Referencias: