Взлет и падение вымогателя «Пети»

Вымогатель «Петя» попал на радары экспертов по безопасности в конце марта
2016 года. Специалисты сразу ряда компаний отметили, что Petya отличается
от общей массы шифровальщиков: вредонос не просто шифрует сами файлы,
оставляя компьютер жертвы в рабочем состоянии, а лишает пользователя до-
ступа к жесткому диску целиком, проникая в Master Boot Record и шифруя Master
File Table. Petya преимущественно атакует специалистов по кадрам: злоумыш-
ленники рассылают фишинговые письма узконаправленного характера (якобы
резюме от кандидатов на какую-то должность), к которым прилагается ссылка
на полное портфолио соискателя на Dropbox. Разумеется, вместо портфолио
по ссылке располагается малварь.

исследователь под псевдонимом Лео Сто- ун сумел взломать «Петю»

Пожелавший остаться анонимным исследователь под псевдонимом Лео Сто-
ун сумел взломать «Петю», использовав генетические алгоритмы. Результаты
своего труда Стоун выложил на GitHub, а также создал два сайта, которыми
жертвы вымогателя могут воспользоваться для генерации кодов дешифров-
ки. На помощь исследователю пришел также небезызвестный эксперт компа-
нии Emsisoft Фабиан Восар, который создал простой инструмент Petya Sector
Extractor для безопасного извлечения нужной информации с диска.

Полностью процесс восстановления данных выглядит следующим образом.
1. Для расшифровки пострадавших файлов придется извлечь жесткий диск
компьютера и подключить его к другому ПК, работающему под управлени-
ем Windows, а затем воспользоваться инструментом Фабиана Восара — он
обнаружит пораженные шифровальщиком области.
2. Как только Petya Sector Extractor завершит работу, нужно нажать первую
кнопку Copy Sector («Скопировать сектор»), перейти на сайт Лео Стоуна
и вставить скопированные данные через Ctrl + V в большое поле ввода тек-
ста (Base64 encoded 512 bytes verification data).
3. Затем снова возвращаемся к утилите Восара, нажимаем вторую кнопку Copy
Nonce и также копируем данные на сайт Стоуна, вставив данные в меньшее
поле ввода (Base64 encoded 8 bytes nonce). Когда оба поля заполнены, мож-
но нажимать Submit и запускать работу алгоритма.
4. Как только сайт предоставит пароль для расшифровки данных, пора вер-
нуть жесткий диск обратно в пострадавший компьютер, включить ПК и вве-
сти полученный код в окне вымогателя (которое загружается вместо ОС).
MBR разблокируется, и информация будет расшифрована.

Музыкальная пауза. Galantis — Peanut Butter Jelly

Дорогие друзья! Пожалуйста оцените статью и не забываем оставлять свои комментарии:
Очень плохоПлохоСреднеХорошоОтлично (5 оценок, среднее: 5,00 из 5)
Загрузка...

Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *