Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

Morphine · 28.06.2017, 17:11

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные
файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS.
Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности.
Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.
Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован,
криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок.
Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.

Но криптовымогатель оказался сам по себе не слишком хорошо защищен.
Пользователь Твиттера с ником leostone разработал
генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит
примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей,
чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов
зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым.
Но выход есть. Другой пользователь, Fabian Wosar,
создал специальный инструмент, который делает все самостоятельно.
Для его работы нужно переставить зараженный диск в другой ПК с Windows OS.
Как только это сделано, качаем Petya Sector Extractor
и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya.
Как только обнаруживается зараженный диск, программа начинает второй этап работы.

Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля,
озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce.
Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле
сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно: Для получения пароля расшифровки нажимаем кнопку Submit.
Пароль будет генерироваться около минуты.

Для получения пароля расшифровки нажимаем кнопку Submit.
Пароль будет генерироваться около минуты.

Записываем пароль, и подключаем зараженный диск обратно.
Как только появится окно вируса, вводим свой пароль.

Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Взято с geektimes

Who Shot Ya · 28.06.2017, 17:23

Давай я тебе видяху продам.

ATi HD3600 Series Crossfire 256.

Bullet74 · 28.06.2017, 22:25

Who Shot Ya, нет чтобы поставить СПАСИБку за данный пост человеку, он тут флудом решил заняться. Видяхи продавай в барахолке.

Who Shot Ya · 28.06.2017, 23:31

Bullet74, Ну в тему же, так то шутка, но для майнинга она бы понадобилась.

ChupaChups —---@ · 29.06.2017, 04:12

млять, о чём ты чел? Морф выложил инфу с целью помочь в борьбе с вирусом, а ты порешь ху**ню ! какой на**уй майнинг? тыкни спасибо и засунь свою видюхи в зад! тут скидывают инфу для помощи людям а ты флудишь и спамишь!
еплан!
Буллет извини, но этот клоун меня прорвал

Добавлено через 3 минуты
КАКОЙ НАКУЙ МАЙНИНГ? О ЧЕМ ТЫ?
МОРФИН СТАРАЕТСЯ ДЛЯ ЛЮДЕЙ, ПОДЕЛИТСЯ ИНФОРМАЦИЕЙ!!!!
А ТЫ, ПОРЕШЬ - ХУ Е ТУ !!!!!!
МЛЛЛЛЯТЬ!!!! ЧИТАТЬ ПРОТИВНО, ЧЕЛОВЕК СТАРАЕТСЯ, А Е6ЛАН КАКОЙ ТО ПОРТИТ ТЕМУ ТРОЛЕВСКИМИ СООБЩЕНИЯМИ!
ТОННА НЕГАТИВА ТЕБЕ И ДИЗЛАЙКОВ!!!!!!!!!

Добавлено через 7 минут
смысловая нагрузка в твоих сообщениях - ОТСУТСТВУЕТ!
за тему МОРФИНА и за его помощь - СПАСИБО!
за твой ОФФТОП - я считаю - дать ПРЕДУПРЕЖДЕНИЕ !

человек старается, держит людей в курсе - а ОНО СПАМИТ !!!
ЧИТАТЬ НЕ ПРИЯТНО, ПРАВДА!

Добавлено через 19 минут
Я видел много твоих постов, ты - ОФФТОПИШЬ! ты по факту СПАМИШЬ! дай ему предупреждение!
ты не поддерживаешь тему разговора, а ОФФТОПИШЬ!
может стоит говорить по делу, а не набивать посты?

Who Shot Ya · 29.06.2017, 11:25

Ладно, больше не слова на данном форуме от меня не услышите, буду зрителем как и 75% пользователей.

Dominator · 29.06.2017, 15:41

Вооот и у меня бомбануло...
Неделю назад я первый раз сморщился от ника Чупа-Чупс,
из-за его слов, цитирую: "я не посчитал НУЖНЫМ, тратить СВОЁ время, на слежку за ТОБОЙ".
Ну думаю ладно, мож со временем поймет, что админы так не делают, тем более не говорят такое. Еще пара моментов из того же поста есть, но не об этом.
Так вот, Чупа, помнится мне ты САМ О СЕБЕ говорил, что ты веселый человек такой,
но сорян, по-форуму этого, как бы, не заметно вообще.

Цитата:

Сообщение от ChupaChups —---@


	КАКОЙ НАКУЙ МАЙНИНГ? О ЧЕМ ТЫ?

Майнинг - это, грубо говоря, добыча криптовалют, пост о защите от вымогателя криптовалют, что не так?
Ну и поехали соберем частички твоего сообщения:

Цитата:

Сообщение от ChupaChups —---@


	порешь ху**ню... засунь свою видюхи в зад!... еплан!... этот клоун... Е6ЛАН КАКОЙ ТО... ОНО СПАМИТ

Какой веселый человек, мдя. Попрошу тебя об одном, разговаривай так возле пивнушек каких-либо, но не тут.

Цитата:

Сообщение от ChupaChups —---@


	дай ему предупреждение!

Буллет, Морфин, приказ отдан, а вы еще не наказали Хушотика? Непорядок...

UPD.
Даже не мне сообщение адресовано было, а так бомбануло у меня, было желание вообще все по полочкам разложить, но лень.

ChupaChups —---@ · 29.06.2017, 17:32

Цитата:

Сообщение от Dominator


	что то там

Ты немного путаешь свои показания.
Позиционирование в игре, с целью разрядки и создания комфортного времяпрепровождения, и общение по насущным вопросам, обсуждение и высказывание своей точки зрения.

Играя на сервере, на ПРОЕКТЕ, я ИГРАЮ, и, мое ИГРОВОЕ амплуа, никак не связано с реальностью, я ИГРАЮ, общаясь на форуме - я ОБЩАЮСЬ

При общении с людьми, у меня есть СВОЯ точка зрения, и моя точка зрения, не обязана нравится ВСЕМ, я не ожидаю всеобщего одобрения своего мнения. Я общаюсь

По поводу твоей иронии - ман, она не уместна, и, я бы даже сказал - вызывает улыбку) ИБО в своих словах, я руководствовался правилами форума и всего лишь указал, что человек ОФФТОПИТ, спамит так проще.

Твоя ирония не уместна, сабж)

Добавлено через 4 минуты
По поводу доброго/веселого/злого/, ман, я не в песочнице общаюсь, я не мну сиськи и не выбираю льстивые слова, я веду конструктивный диалог, строго по факту, и по существу, нравится моя манера общения или нет - это уже сугубо ЛИЧНОЕ дело.

Спасибо что продолжил разговор, наполнили форум постами, у тебя своё мнение - у меня своё, не больше, это просто общение)

Dominator · 29.06.2017, 18:53

Цитата:

Сообщение от ChupaChups —---@


	Ты немного путаешь свои показания.

Ну получается не я путаю, а у тебя на каждое место своя маска.

Цитата:

Сообщение от ChupaChups —---@


	я руководствовался правилами форума и всего лишь указал, что человек ОФФТОПИТ, спамит так проще.

Скинь ссылку на правила форума, где написано, надо материть людей?
Такое твое общение наказуемо законом.. или не законом.
Ну просто адекватнее надо быть.

ChupaChups —---@ · 29.06.2017, 19:05

скайп - gravii5, лучше туда бомби, гавнокиданием на форуме я не хочу заниматься)

Добавлено через 5 минут
при чем тут маска ?)) слышу звон, а не знаю где он. ты видимо не знаешь значения слова АМПЛУА, что говорит о скудности твоего словарного запаса, больше книг читайте, господин.

Добавлено через 6 минут
быть может, если бы ты тратил время на более продуктивное времяпрепровождение, нежели как следить за поведением другого человека, ты был бы более лояльным?