Взломает ли Петя вымогателей ваши файлы?

Рекламное объявление

Ransomware находится на подъеме. Киберпреступники повысили ставки За пределами вашего компьютера: 5 способов вымогателей захватит вас в будущемRansomware, вероятно, самая противная вредоносная программа, и преступники, использующие ее, становятся все более продвинутый, вот пять тревожных вещей, которые могут скоро стать заложниками, в том числе умные дома и умные легковые автомобили. Подробнее в борьбе за ваши данные, внедряя множество передовых вредоносных программ, предназначенных для шифрования ваших личных данных. Их конечная цель - вымогать у вас деньги. Если их требования не будут выполнены, ваши зашифрованные файлы останутся вне досягаемости.

Недоступен. Потерянный.

Нападения на людей не новаторские. И при этом они не заголовки заголовков. Но в 2015 году ФБР получило чуть менее 2500 жалоб непосредственно связанные с атаками, связанными с вымогательством, с потерями около 24 млн. долларов.

Чуть более двух недель назад, новый вариант вымогателей, Петька, появился. Однако, как только исследователи безопасности начали отправлять предупреждения, касающиеся Возможности вымогателей и конкретные способы атаки, раздраженный человек взломал Петю шифрование. Это означает, что тысячи потенциальных жертв могут безопасно расшифровать свои файлы, экономя время, деньги и горы разочарования.

Почему Петя отличается

Вымогатели инфекции обычно следуют по линейному пути Что такое буткит и является ли Немезида подлинной угрозой?Хакеры продолжают находить способы нарушить работу вашей системы, такие как буткит. Давайте посмотрим, что такое буткит, как работает вариант Nemesis, и рассмотрим, что вы можете сделать, чтобы остаться ясным. Подробнее . Когда система взломана, Ransomware сканирует весь компьютер Не поддавайтесь мошенничеству: руководство по вымогателям и другим угрозам Подробнее и начинает процесс шифрования. В зависимости от варианта вымогателей Избегайте падения жертвы этих трех мошенников вымогателейНесколько известных мошенников вымогателей в обращении в настоящее время; давайте рассмотрим три самых разрушительных, чтобы вы могли их узнать. Подробнее сетевые местоположения также могут быть зашифрованы. После завершения процесса шифрования вымогатель доставляет пользователю сообщение, информирующее его об их возможностях: заплатить или проиграть Не плати - как победить вымогателей!Только представьте, если кто-то появился у вашего порога и сказал: «Эй, в вашем доме есть мыши, о которых вы не знали. Дайте нам 100 долларов, и мы от них избавимся. "Это вымогатель ... Подробнее .

Недавние изменения в программах-вымогателях привели к тому, что личные файлы пользователей были проигнорированы, вместо этого они решили зашифровать таблицу основных файлов (MFT) диска C:, что фактически делает компьютер бесполезным.

Основная таблица файлов

Петя был в основном распространен через вредоносная кампания по электронной почте.

«Жертвы получат электронное письмо с просьбой выглядеть и читать как служебное послание от« заявителя », ищущего должность в компании. Это дало бы пользователям гиперссылку на место хранения Dropbox, которое предположительно позволило бы пользователю скачать биографические данные заявителя (CV) ».

После установки Петя начинает заменять основную загрузочную запись (MBR). MBR - это информация, хранящаяся в первом секторе жесткого диска, содержащая код, который находит активный первичный раздел. Процесс перезаписи препятствует нормальной загрузке Windows, а также предотвращает доступ к безопасному режиму.

Как только Петя перезаписывает MBR, он шифрует MFT, файл, найденный в разделах NTFS, содержащий критическую информацию обо всех остальных файлах на диске. Затем Петя принудительно перезагружает систему. При перезагрузке пользователь обнаруживает поддельное сканирование CHKDSK. Хотя сканирование обеспечивает целостность тома, верно и обратное. Когда CHKDSK завершается и Windows пытается загрузить, измененная MBR отобразит череп ASCII с ультиматумом, чтобы заплатить выкуп, обычно в биткойнах.

Цена восстановления составляет примерно 385 долларов США, хотя она может меняться в зависимости от курса обмена биткойнов. Если пользователь решает игнорировать предупреждение, выкуп биткойна удваивается. Если пользователь продолжает сопротивляться попытке вымогательства, автор программы-вымогателя Petya удалит ключ шифрования.

Хак-Петя Миссия

Там, где дизайнеры-вымогатели обычно чрезвычайно осторожны в выборе шифрования, автор Пети «ускользнул». Неопознанный программист разобрался как взломать петю после «Пасхальное посещение моего свекра привело меня [его] в этот беспорядок».

Взломщик способен обнаружить ключ шифрования, необходимый для разблокировки зашифрованной основной загрузочной записи, выпуская системные файлы. Чтобы восстановить контроль над файлами, пользователям сначала необходимо удалить зараженный жесткий диск с компьютера и подключить его к другому рабочему компьютеру. Затем они могут извлечь несколько строк данных для ввода в инструмент.

Извлечение данных является сложной задачей, требующей специальных инструментов и знаний. К счастью, сотрудник Emsisoft Фабиан Восар создал специальный инструмент для решения этой проблемы, сделав «фактическую расшифровку более удобной для пользователя». Вы можете найти Петя Сектор Экстрактор здесь. Загрузите и сохраните его на рабочем столе компьютера, используемого для исправления.

Могут ли «журналисты» начать делать уроки? Я не несу ответственности за расшифровку Пети. кредит @leo_and_stone.

- Фабиан Восар (@fwosar) 15 апреля 2016 г.

Инструмент Восара извлекает 512 байт, необходимых для Пети трещина, «Начиная с сектора 55 (0x37h) со смещением 0 и 8-байтового одноразового номера от сектора 54 (0x36) смещение: 33 (0x21). » Как только данные извлечены, инструмент преобразует их в необходимый Base64 кодирование. Затем он может быть введен в Сайт "Петя без оплаты выкупа".

Я просто предоставил небольшой ~ 50-строчный инструмент, который делает фактическое дешифрование более удобным для пользователя.

- Фабиан Восар (@fwosar) 15 апреля 2016 г.

После того, как вы сгенерировали пароль для расшифровки, запишите его. Теперь вам нужно заменить жесткий диск, а затем загрузить зараженную систему. Когда появится экран блокировки Пети, вы можете ввести свой ключ дешифрования.

Подробное руководство по извлечению строки данных, вводу преобразованных данных на веб-сайт и созданию пароля для расшифровки можно найти здесь.

Расшифровка для всех?

Комбинация шифровального взлома leo-stone и экстрактора Petya Sector Extractor от Fabian Wosar - все для приятного чтения. Любой, кто обладает техническими знаниями и ищет решение для своих зашифрованных файлов, может получить шанс восстановить контроль над своими данными.

Теперь решение было упрощено, и пользователи, не обладающие техническими знаниями, могли бы зараженную систему в местную ремонтную мастерскую и сообщите техническим специалистам, что нужно делать, или, по крайней мере, во что они верят нужно делать.

Тем не менее, даже как путь к ремонту это конкретный вариант вымогателей стало намного проще, вымогателей по-прежнему массовый, постоянно развивающаяся проблема, стоящая перед каждым из нас Ransomware продолжает расти - как вы можете защитить себя? Подробнее . И, несмотря на то, что этот путь легче найти и легче следовать, авторы вымогателей знают, что существует огромное большинство пользователи, у которых просто не будет никакой надежды на расшифровку файлов, их единственный шанс на восстановление с помощью холодного, жесткого, недоступного для отслеживания Bitcoin.

Несмотря на их первоначальное кодирование подделкаЯ уверен, что авторы вымогателей Петя не сидят без дела, жалеть себя. Теперь, когда этот метод взлома и расшифровки набирает обороты, они, вероятно, работают над обновлением своего кода, чтобы отключить решение, закрывая дверь для восстановления данных еще раз.

Вы были жертвой вымогателей? Вам удалось восстановить ваши файлы, или вы заплатили выкуп? Дайте нам знать ниже!