El autor del ransomware Petya publica la clave maestra de descifrado

El creador original del ransomware Petya, una persona o grupo conocido bajo el nombre de Janus Cibercrime Solutions, ha publicado la clave maestra que permitirá descifrar cualquier fichero que haya sido infectado por las versiones anteriores de este código dañino. En concreto, Hasherezade, investigador de la compañía de seguridad Malwarebytes, consiguió crackear el archivo y compartió su contenido, que era el siguiente:

“Aquí está nuestro secp192k1 privkey:

38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

Utilizamos el esquema ECIES (with AES-256-ECB) para encriptar la contraseña de cifrado en el ‘Personal Code’ que está codificado en BASE58”.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

A continuación, el investigador de Kaspersky Lab, Anton Ivanov, pudo probar la clave maestra y confirmó que se trata de la clave privada del lado del servidor utilizada durante el cifrado de las versiones anteriores de Petya, de manera que es posible utilizarla para desarrollar descodificadores.

Así pues, la siguiente lista incluye las versiones que permiten su descifrado:

- La primera versión de ransomware Petya, en la que aparecen flashes de una calavera verde sobre fondo negro durante la pantalla de arranque.

- La segunda versión, la cual incluye el ransomware Mischa, en la que se muestran flashes de una calavera blanca sobre fondo rojo durante la pantalla de arranque.

- La tercera versión, también conocida como GoldenEye ransomware, en la que aparecen flashes de una calavera amarilla sobre fondo rojo durante la pantalla de arranque.

Desafortunadamente, esta clave de descifrado no resultará tan útil como se podría pensar, puesto que la mayoría de las campañas de Petya ocurrieron en 2016. Por tanto, los usuarios que tienen sus archivos bloqueados ya han limpiado las unidades de disco o han pagado un rescate hace meses. Además, Janus Cybercrime Solutions no es el autor de NotPetya, el ransomware detectado hace tan solo un par de semanas, por lo que la clave que descifrado que ha facilitado no puede utilizarse para recuperar los contenidos afectados por este malware.