Vă va fisura fișierele Petya Ransomware?

Publicitate

Ransomware-ul este în creștere. Ciberneticii au crescut mizele Dincolo de computerul dvs.: 5 moduri Ransomware vă va lua captiv în viitorRansomware este probabil cel mai urât malware, iar infractorii care îl folosesc devin tot mai mulți avansat, Iată cinci lucruri îngrijorătoare care ar putea fi luate ostatic în curând, inclusiv case inteligente și inteligente autoturisme. Citeste mai mult în lupta pentru datele dvs., introducerea de mostre de malware avansate concepute pentru a cripta datele personale. Scopul lor final este să extorci bani de la tine. Dacă nu sunt îndeplinite cerințele lor, fișierele criptate vor rămâne la îndemână.

Indisponibil. Pierdut.

Atacurile asupra indivizilor nu sunt de ultimă oră. Nici ele nu sunt înfundate în titluri. Însă 2015 a văzut FBI-ul primind puțin sub 2.500 de reclamații legat direct de atacuri legate de ransomware, în valoare de aproximativ 24 de milioane de dolari pierderi pentru victime.

Cu puțin peste două săptămâni în urmă, o nouă variantă ransomware,

Petya, a apărut. Cu toate acestea, de îndată ce cercetătorii de securitate au început să administreze avertismente cu privire la Capacitățile ransomware-ului și modurile specifice de atac, o persoană iritată a fisurat Petya criptare. Aceasta înseamnă că mii de potențiale victime își pot decripta în siguranță fișierele, economisind timp, bani și munți de frustrare.

De ce Petya este diferită

Ransomware infecțiile urmează de obicei o cale liniară Ce este un Bootkit și Nemesis este o amenințare autentică?Hackerii continuă să găsească modalități de a vă perturba sistemul, cum ar fi bootkit-ul. Să ne uităm la ce este un bootkit, cum funcționează varianta Nemesis și să luăm în considerare ce puteți face pentru a rămâne clar. Citeste mai mult . Odată ce un sistem este compromis, ransomware scanează întregul computer Nu vă lăsați înșelători de escroci: un ghid pentru răscumpărare și alte amenințări Citeste mai mult și începe procesul de criptare. În funcție de varianta ransomware Evitați căderea victimei acestor trei escrocherii RansomwareÎn prezent, mai multe escrocherii ransomware proeminente sunt în circulație; hai să trecem peste trei dintre cele mai devastatoare, pentru a le putea recunoaște. Citeste mai mult , locațiile de rețea pot fi, de asemenea, criptate. Odată ce procesul de criptare este finalizat, ransomware-ul transmite utilizatorului un mesaj informându-i cu privire la opțiunile lor: plătiți sau pierdeți Nu plătiți - Cum să bateți Ransomware-ul!Imaginați-vă dacă cineva s-a prezentat în fața ușii dvs. și a spus: „Hei, există șoareci în casa ta despre care nu știai. Dă-ne 100 de dolari și vom scăpa de ei. "Acesta este Ransomware-ul ... Citeste mai mult .

Variații recente ale ransomware-ului au văzut ignorate fișierele personale ale utilizatorului, alegând în schimb să cripteze tabelul Master File (MFT) al unității C: ceea ce face ca un computer să fie inutil.

Tabelul fișierului principal

Petya a fost distribuită în mare măsură prin o campanie de e-mail rău intenționată.

„Victimele ar primi un e-mail adaptat pentru a arăta și citi ca un„ misiv ”legat de afaceri de la un„ solicitant ”care caută o poziție într-o companie. Acesta ar prezenta utilizatorilor un hyperlink către o locație de stocare Dropbox, ceea ce ar permite utilizatorului să descarce curriculum vitae (CV) al solicitantului. "

Odată instalată, Petya începe să înlocuiască Master Boot Record (MBR). MBR este informația stocată în primul sector al hard disk-ului, care conține codul care localizează partiția primară activă. Procesul de suprascriere împiedică Windows să se încarce normal, precum și împiedică accesul la modul sigur.

După ce Petya a suprascris MBR, criptează MFT, un fișier găsit în partiții NTFS care conține informații critice despre fiecare alt fișier de pe unitate. Petya forțează apoi o repornire a sistemului. La repornire, utilizatorul întâlnește o scanare falsă CHKDSK. În timp ce scanarea pare să asigure integritatea volumului, opusul este adevărat. Când CHKDSK se finalizează și Windows încearcă să se încarce, MBR modificat va afișa un craniu ASCII cu un ultimatum pentru a plăti o răscumpărare, de obicei în Bitcoin.

Prețul de recuperare se ridică la aproximativ 385 USD, deși acest lucru se poate modifica pe baza cursului de schimb Bitcoin. Dacă utilizatorul decide să ignore avertismentul, răscumpărarea Bitcoin se dublează. Dacă utilizatorul continuă să reziste la încercarea de extorsiune, autorul Petya ransomware va șterge cheia de criptare.

Misiunea Hack-Petya

În cazul în care designerii de ransomware sunt de obicei extrem de atenți în alegerea criptării, autorul Petya s-a „strecurat”. Un programator neidentificat mi-am dat seama cum să spargeți criptarea lui Petya după un „Vizita de Paște a socrului meu m-a făcut [pe el] în această mizerie.”

Fisura este capabilă să dezvăluie cheia de criptare necesară pentru a debloca înregistrarea de încărcare principală criptată, eliberând fișierele de sistem captive. Pentru a recâștiga controlul fișierelor, utilizatorii vor trebui mai întâi să elimine hard disk-ul infectat și să-l atașeze la un alt computer de lucru. Acestea pot extrage apoi o serie de șiruri de date pentru a intra în instrument.

Extragerea datelor este dificilă, necesitând instrumente și cunoștințe de specialitate. Din fericire, angajat al Emsisoft Fabian Wosar a creat un instrument special pentru a atenua această problemă, făcând „decriptarea propriu-zisă mai prietenoasă”. Puteți găsi Petya Sector Extractor aici. Descărcați-l și salvați-l pe desktopul computerului utilizat pentru remediere.

„Jurnaliștii” ar putea începe să-și facă temele? Nu sunt responsabil pentru că Petya să fie decriptată. Credit @leo_and_stone.

- Fabian Wosar (@fwosar) 15 aprilie 2016

Instrumentul lui Wosar extrage cei 512 biți necesari pentru Petya sparge, „Începând cu sectorul 55 (0x37h) cu o compensare de 0 și nonce 8 octeți din sectorul 54 (0x36) compensare: 33 (0x21). " După extragerea datelor, instrumentul o va converti la baza de bază necesară codificare. Acesta poate fi apoi introdus în site-ul petya-no-pay-ransom.

Am furnizat doar un mic instrument de 50 de linii care face decriptarea efectivă mai ușoară pentru utilizator.

- Fabian Wosar (@fwosar) 15 aprilie 2016

După ce ați generat parola de decriptare, scrieți-o. Acum va trebui să înlocuiți hard disk-ul, apoi să porniți sistemul infectat. Când apare ecranul de blocare Petya, puteți introduce cheia de decriptare.

Un tutorial detaliat despre extragerea șirului de date, introducerea datelor convertite pe site-ul web și generarea parolei de decriptare poate fi găsit aici.

Decriptare pentru toată lumea?

Combinația de fisură de criptare a leo-piatra și extractorul de sector Petya de la Fabian Wosar fac o lectură fericită. Oricine are cunoștințele tehnice de a căuta o soluție pentru fișierele criptate ar putea avea posibilitatea de a recăpăta controlul asupra datelor sale.

Acum soluția a fost simplificată, acei utilizatori fără reams de cunoștințe tehnice și-ar putea lua în mod fezabil sistem infectat la un atelier de reparații locale și informează tehnicienii despre ce trebuie să facă sau cel puțin ce cred ei are nevoie de a face.

Cu toate acestea, chiar ca calea către remediere acest o variantă specială de ransomware a devenit mult mai ușoară, ransomware-ul este încă un masiv, problemă în continuă dezvoltare cu care ne confruntăm fiecare dintre noi Ransomware continuă să crească - cum vă puteți proteja? Citeste mai mult . Și, deși această cale este mai ușor de găsit și mai ușor de urmărit, autorii ransomware știu că există o mare majoritate de utilizatori care pur și simplu nu vor avea nicio speranță de a decripta fișierele, singura lor șansă de recuperare prin frig, greu, netraciabil Bitcoin.

În ciuda codării lor inițiale faux pas, Sunt sigur că autorii ransomware-ului Petya nu stau în jurul lor, și le pare rău pentru ei înșiși. Acum că această metodă de fisurare și decriptare câștigă tracțiune, probabil că lucrează la actualizarea codului lor pentru a dezactiva soluția, închizând încă o dată ușa la recuperarea datelor.

Ați fost o victimă ransomware? Ați reușit să recuperați fișierele sau ați plătit răscumpărarea? Spuneți-ne mai jos!