Petya/Petrwrap es un wiper, no un ransomware

Hoy comentaremos algunas notas sobre por qué Petya/Petrwrap no es considerado ransomware, sino un wiper, es decir, los datos cifrados no pueden ser recuperados.


Primero la advertencia: Si fuiste infectado con Petya/PetrWrap/NoPetya, NO PAGUES EL RESCATE con bitcoins! Según algunos estudios, los mismos creadores no pueden descifrar los datos que perdiste.

Petya/Petrwrap: ¿Wiper o Ransomware?

petya ransomware wiper petrwrap nopetr nopetya security infosec linux windows Petya/PetrwrapEl objetivo principal de un wiper es el de destruir los datos del disco, no cifrarlos para pedir rescate, mientras que un ransomware cifra con el objetivo de obtener ganancias económicas.

Por ello, un ransomware puede recuperar la información una ve que se ha producido el pago del rescate, mientras que un wiper no.

Matt Suiche, el hacker que presentó un informe interesante para Comae Technologies, su empresa, donde explica estos temas, puede verse aquí.

Wiper, razón 1: modificación del sector de arranque

Afortunadamente hay múltiples análisis de Petya del año 2016, y Microsoft ha publicado un análisis de Petya en su momento, que recomiendo leer.

Suiche analizó la implementación de Petya del 2016, y la comparó con la de 2017 incluida en Petrwrap, y encontró algunas diferencias interesantes.

El análisis descubrió que PetrWrap elimina los primeros 24 bloques de sectores del disco mientras los replica. En realidad, si bien en algunos ordenadores cifra bien debido a que esos primeros sectores del disco son irrelevantes, en la mayoría los sobreescribe, y resulta imposible recuperarlos luego.

El primer bloque del disco se codifica utilizando XOR con la clave 0x7, lo que resulta reversible. Este dato codificado se almacena en el bloque 34 del disco.

Luego se sustituye con el nuevo cargador de inicio del “ransomware”. Esto significa que al escribir el bootloader, de 24 bloques, desde el bloque siguiente al primero, sobreescriben la información que se encontraba ahí, y estos datos nunca se almacenaron en ningún otro lado.

Wiper, razón 2: email de pago desactivada

Por otro lado, la dirección de correo donde las víctimas deberían enviar el pago en bitcoins, provista por Posteo.net, fue desactivada por la empresa al descubrirse el ataque.

De esta forma, quienes quieran pagar, podrán hacerlo, pero al no haber forma de contactarse con el atacante para enviarle la clave personal, igualmente no podrán descifrar sus datos.petya ransomware wiper petrwrap nopetr nopetya security infosec linux window sPetya/Petrwrap

Inconsistencias de clave

Como reportó Kaspersky, la clave autogenerada en la pantalla es aleatoria, y no se relaciona con el cifrado. Después de mirar mas cómo la clave de cifrado de archivos fue generada, se descubrió una inconsistencia que apoya el estudio original de Kaspersky.

Se puede comparar la clave de instalación almacenada en un archivo README.txt, y la que muestra la pantalla del “ransomware”: tienen formatos diferentes.

Como puede verse en la siguiente imágen, publicada por Suiche, a la izquierda se puede ver la clave mostrada en pantalla, y a la derecha, la que está guardada en el README.txt generado por PetrWrap.

petya ransomware wiper petrwrap nopetr nopetya security infosec linux windows Petya/PetrwrapEsto significa que, asumiendo que el software de descifrado pueda ejecutarse, la clave que debería pasársele no es la que muestra la pantalla del ransomware, sino la del archivo README.txt.

Enlaces externos

Para más información pueden visitar el sitio de de Comae Technologies donde Matt Suiche publicó (y sigue actualizando) su investigación.

Otro artículo interesante, basado en el anterior, viene de la mano de SecureList.

Y por último, en este mismo blog hemos publicado ya varios artículos relacionados, pueden leerlos siguiendo estos links:

Igualmente seguiremos informando sobre nuevos ataques y más información en nuestras redes sociales, email de suscriptores, y en nuestro canal de Telegram.

Será hasta la próxima! Espero les resulte interesante!