Saltar al contenido
Seguridad

Pagar el rescate para recuperar los archivos cifrados por Petrwrap no servirá de nada

Como sabemos, el ataque de Petrwrap de hace unos días, ha afectado gran cantidad de corporaciones alrededor del mundo.

Este ransomware se aprovecha del mismo exploit que el WannaCry, a diferencia del Wannacry, esta variante de Petya cifra el MBR (Master Boot Record) Registro de arranque principal de sistema operativo, con esto imposibilita al usuario acceder al sistema operativo, luego de su infección, activa un temporizador que obliga el reinicio del equipo. Una vez reiniciado el equipo aparece la pantalla en donde indica que tus archivos han sido cifrados y ya no son accesibles, además indica que no pierdas el tiempo intentando recuperarlos.

[anuncio_b30 id=2]

La nota del ransom también demanda que las víctimas, paguen 300$ en Bitcoins por dispositivo infectado, y luego confirmar su pago al siguiente correo electrónico: wowsmith123456@posteo.net.

 

Índice

    Pagar el rescate no funcionará

     

    De acuerdo con lo informado por Posteo, el servicio email alemán usado por el autor del ataque, le han suspendido la cuenta lo más rápido posible, haciendo imposible toda comunicación con las víctimas y evitando que pueda enviar las llaves de decodificación.

    Pero los expertos de Kaspersky han hablado y no abogan por pagar el rescate, ya que parece ser inútil de todos modos. Alegan que «realmente nunca hubo mucha esperanza para las víctimas de recuperar sus archivos».

    Los investigadores de Kaspersky Lab han analizado el alto nivel de código de la rutina de cifrado y han determinado que, tras el cifrado del disco, los responsables de esta amenaza no podrían descifrar los discos de las víctimas. Para descifrarlo, el autor de esta amenaza necesita el ID de la instalación. En versiones anteriores de ransomware supuestamente parecidos a Petya/Mischa/GoldenEye, el ID de la instalación contenía la información necesaria para recuperar las claves.

    Sin embargo, esta variante de Petya no contiene ese ID de la instalación, lo que significa que el autor de las amenazas no podría extraer la información necesaria para el descifrado.

    En pocas palabras, las víctimas nunca podrían recuperar sus datos.