viernes, 7 de julio de 2017

El autor del ransomware Petya original publica la clave de descifrado

A principios de la semana pasada, un nuevo ciberataque mundial de ransomware volvió a activar todas las alarmas, haciendo resurgir el temor sembrado por WannaCry poco más de un mes antes.

Poco después de conocerse el ataque, algunas firmas de seguridad, como Trend Micro, informaron de que el responsable en esta ocasión había sido una variante del ransomware Petya, una cepa detectada a finales de marzo de 2016. Sin embargo, más tarde un informe de la compañía Kaspersky Lab sugirió se trataba de otro tipo de ransomware que no había sido detectado nunca, por lo que este virus también se conoce como NotPetya. 

Ahora, el autor del ransomware Petya original, que es una persona o grupo que se hace llamar Janus Cybercrime Solutions, ha hecho pública la clave de descifrado de todas las versiones pasadas de su software malicioso. Lo hizo a través de su cuenta de Twitter, en la que publicó un enlace a un archivo encriptado y protegido por contraseña con la clave maestra. Hasherezade, investigador de la compañía de seguridad Malwarebytes, consiguió crackear el archivo y compartió su contenido, que era el siguiente:
Aquí está nuestro secp192k1 privkey:
38dd46801ce61883433048d6d8c6ab8be18654a2695b4723

Utilizamos el esquema ECIES (with AES-256-ECB) para encriptar la contraseña de cifrado en el "Personal Code" que está codificado en BASE58.

El investigador de Kaspersky Anton Ivanov pudo probar la clave maestra y confirmó que se trata de la clave privada del lado del servidor utilizada durante el cifrado de las versiones anteriores de Petya, de manera que es posible utilizarla para desarrollar descodificadores.

Desafortunadamente, Janus Cybercrime Solutions no es el autor de NotPetya, por lo que la clave que descifrado que ha facilitado no puede utilizarse para recuperar los contenidos afectados por este malware. El creador de la nueva cepa responsable del ciberataque mundial de la semana pasada ha dado recientemente señales de vida, aunque lejos de ofrecer una solución a las víctimas ha pedido más dinero. Debido a que el sistema de pago de NotPetya está fuera de servicio, el ciberdelincuente pide 250.000 dólares (100 Bitcoins) a cambio de entregar la clave para liberar los ordenadores infectados.