Ransomware знаходиться на підйомі. Кіберзлочинці підвищили ставки за в битві за ваші дані, представляючи безліч передових шкідливих програм, призначених для шифрування ваших особистих даних. Їхня кінцева мета - вимагати у вас гроші. Якщо їх вимоги не буде виконано, ваші зашифровані файли залишаться поза досяжністю.
Недоступний. Втратив.
Напади на людей не новаторські. І при цьому вони не заголовки заголовків. Але в 2015 році ФБР отримало трохи менше 2500 скарг, пов'язаних безпосередньо з атаками, пов'язаними з вимаганням, що принесло жертвам близько 24 мільйонів доларів.
Трохи більше двох тижнів тому з'явився новий варіант здирника, Петя. Однак, як тільки дослідники безпеки почали відправляти попередження про можливості вимагачів і конкретні способи атаки, роздратована людина зламала шифрування Петі. Це означає, що тисячі потенційних жертв можуть безпечно розшифрувати свої файли, економлячи час, гроші і гори розчарування.
Чому Петя відрізняється
Інфекції здирників зазвичай йдуть лінійним шляхом. Після того, як система зламана, вимагач сканує весь комп'ютер "і починається процес шифрування. Залежно від варіанту здирника, мережеві місця також можуть бути зашифровані. Після завершення процесу шифрування вимагач доставляє користувачеві повідомлення, що інформує його про їх можливості: заплатити або програти.
Недавні зміни у вимаганні призвели до того, що особисті файли користувача ігнорувалися, замість цього вони вирішили зашифрувати таблицю основних файлів (MFT) диска C:, що фактично робить комп'ютер марним.
Основна таблиця файлів
Петя був значною мірою поширений через шкідливу поштову кампанію.
"Жертви отримають електронного листа з проханням виглядати і читати як службове послання від" заявника ", який шукає посаду в компанії. Це дало б користувачам гіперпосилання на місце зберігання Dropbox, яке імовірно дозволило б користувачеві завантажити біографічні дані заявника (CV) ".
Після встановлення Петя починає замінювати основний завантажувальний запис (MBR). MBR - це інформація, що зберігається в першому секторі жорсткого диска, що містить код, який знаходить активний первинний розділ. Процес перезапису перешкоджає нормальному завантаженню Windows, а також запобігає доступу до безпечного режиму.
Як тільки Петя перезаписує MBR, він шифрує MFT, файл, знайдений у розділах NTFS, що містить критичну інформацію про всі інші файли на диску. Потім Петя примусово перезавантажує систему. Під час перезавантаження користувач виявляє підроблене сканування CHKDSK. Хоча сканування, мабуть, забезпечує цілісність тому, вірно і зворотне. Коли CHKDSK завершиться і Windows спробує завантажити, змінена MBR відобразить череп ASCII з ультиматумом, щоб заплатити викуп, зазвичай в біткойнах.
Ціна відновлення становить приблизно 385 доларів США, хоча вона може змінюватися залежно від курсу обміну біткойнів. Якщо користувач вирішує ігнорувати попередження, викуп біткойна подвоюється. Якщо користувач продовжує чинити опір спробі вимагання, автор програми-вимагача Petya видалить ключ шифрування.
Хак-Петя Місія
Там, де дизайнери-вимагачі зазвичай надзвичайно обережні у виборі шифрування, автор Петі «вислизнув». Невідомий програміст зрозумів, як зламати шифрування Петі після того, як "великодній візит до мого тестю втягнув мене [його] в цей безлад" ".
Зломник може виявити ключ шифрування, необхідний для розблокування зашифрованого основного завантажувального запису, випускаючи системні файли. Щоб відновити контроль над файлами, користувачам спочатку необхідно видалити заражений жорсткий диск з комп'ютера і підключити його до іншого робочого комп'ютера. Потім вони можуть отримати декілька рядків даних для введення в інструмент.
Вилучення даних є складним завданням, що вимагає спеціальних інструментів і знань. На щастя, співробітник Emsisoft Фабіан Восар (Fabian Wosar) створив спеціальний інструмент для вирішення цієї проблеми, зробивши «фактичну розшифровку більш зручною для користувача». Ви можете знайти екстрактор сектора Petya тут. Завантажте і збережіть його на стільниці комп "ютера, що використовується для виправлення.
Інструмент Wosar витягує 512 байт, необхідних для злому Петі, "починаючи з сектора 55 (0x37h) зі зміщенням 0 і 8-байтовим одноразовим значенням зі зміщення сектора 54 (0x36): 33 (0x21)». Як тільки дані вилучені, інструмент перетворює його на необхідне кодування Base64. Потім його можна ввести на веб- сайті «Петя без оплати викупу».
Після створення пароля для розшифрування запишіть його. Тепер вам потрібно замінити жорсткий диск, а потім завантажити заражену систему. Коли з'явиться екран блокування Петі, ви можете ввести свій ключ дешифрування.
Докладніші настанови щодо вилучення рядка даних, введення перетворених даних на веб-сайт та створення пароля для розшифрування можна знайти тут.
Розшифровка для всіх?
Комбінація шифрувального злому leo-stone і екстрактора Petya Sector Extractor від Фабіана Восара зроблена для приємного читання. Кожен, хто володіє технічними знаннями і шукає рішення для своїх зашифрованих файлів, може отримати реальний шанс відновити контроль над своїми даними.
Тепер рішення стало простішим, і ті користувачі, у яких немає технічних знань, могли б по можливості доставити свою заражену систему в місцеву ремонтну майстерню і проінформувати техніків про те, що потрібно робити, або, принаймні, що вони вважають за потрібне робити.
Однак, навіть незважаючи на те, що шлях до виправлення цього конкретного варіанту здирника став набагато простішим, здирник все ще залишається серйозною, постійно розвивається проблемою, що стоїть перед кожним з нас. І, незважаючи на те, що цей шлях легше знайти і легше слідувати, автори здирників знають, що переважна більшість користувачів просто не будуть сподіватися на розшифровку файлів - їх єдиний шанс на відновлення за допомогою холодного, жорсткого і не відстежуваного Біткойна.
Незважаючи на їх початкове помилкове кодування, я впевнений, що автори здирників Petya не сидять без діла, шкодувати себе. Тепер, коли цей метод злому і розшифровки набирає силу, вони, ймовірно, працюють над оновленням свого коду, щоб відключити рішення, закриваючи двері для відновлення даних ще раз.