Hasherezade, analista de malware en Malwarebytes, ha facilitado otro método para obtener los datos requeridos romper el ransomware Petya sin tener que conectar el disco duro como externo a otro computador.
A fines de marzo Hasherezade publicó un decodificador para obtener la llave de Petya en la etapa inicial de la infección del ransomware, cuando aparece la pantalla azul de la muerte y el equipo no es re-iniciado.
Ahora ha actualizado el decodificador para obtener del computador infectado los datos requeridos para descifrar la contraseña de Petya. La ventaja de usar el decodificador de Hasherezade es que el usuario víctima lo puede hacer en el mismo equipo infectado. No tiene que desinstalar el disco duro y conectarlo a otro computador como se tiene que hacer si se usa Petya Sector Extractor, la herramienta de Fabian Wosar, de Emsisoft.
El proceso de extracción de Hasherezade se basa en el uso de la herramienta Kali Linux para re-iniciar el computador afectado en modo forense. Una vez identificado el disco duro afectado se ejecuta el decodificador de Hasherezade y si el computador está en la etapa inicial de infección la herramienta mostrará la llave de descifrado de Petya. Si el equipo ya fue infectado por Petya (se re-inició después de la pantalla azul) entonces la herramienta proporcionará los datos de verificación y nonce que el usuario deberá introducir en el sitio web de @leostone para obtener la contraseña que rompe a Petya.
Ya con la contraseña es necesario re-iniciar el equipo con Windows e introducirla cuando aparezca la pantalla de Petya para que el sistema arranque como sucede normalmente.
Es importante considerar que el rompimiento de Petya seguramente ocasionará que sus autores desarrollen variantes para evitar el descifrado de la contraseña.