Atrasta pretinde cryptolocker’a Petja "nedarbiem"

[samurajs]

Cryptolocker tipa datorvīrusi datorlietotājus baida visvairāk, jo iespēja pazaudēt visus datus komercstruktūrās garantē nopietnas nepatikšanas. Lai arī visapkārt top dziedāts par nepieciešamību taisīt visu aktuālo datu rezerves kopijas, ne jau katrs to dara. Pavīdējis kaut kāds cerību stariņš, jo izdevies atrast reālu pretindi jaunākajam no kriptolockeriem “Petya”.

“Petjas” nokriptēto HDD jāieliek citā datorā ar Windows. Jānovelk utilītprogramma Petya Sector Extractor, saglabājam uz desktopa un palaižam PetyaExtractor.exe. Tas sāks skenēt datu glabātuvi, meklējot vīrusu “Petya”. Kad tas atrasts, sākas otrais posms.

[img]https://notepad.lv/userpix/28_785acd2d7ab8735952949eb905f15f71_1.png[/img]

Nepieciešams kriptētā HDD noteiktu sektoru saturu ievadīt speciālā mājaslapā, kurā tiks izskaitļota atšifrēšanas atslēga. Spiežam “ekstraktorā” uz Copy Sector un rezultātu iekopējam mājaslapas augšējā laukā. Tad spiežam Copy Nonce un rezultātu ievietojam apakšējā laukā. Nosūtām datus.

[img]https://notepad.lv/userpix/28_ac8d0d70e7e2030a2a319c7283c4bc4c_1.png[/img]

Pēc kādas minūtes mums izskaitļos atslēgu. To saglabājam, liekam HDD atpakaļ vecajā kompī un slēdzam iekšā.

[img]https://notepad.lv/userpix/28_4ac13e59a071bd09c88f9c40698dbc85_1.png[/img]

Tiklīdz parādās sarkanais “Petya” logs, vadām iekšā atslēgu it kā būtu to nopirkuši no bandītiem par 9 bitmonētām. Skatāmies, kā norit dekriptēšanas process un priecājamies. PROFIT! (Un steidzami izgatavojam visu datu rezerves kopijas, jo varbūt nākamreiz tik lēti cauri netiksim!)

[img]https://notepad.lv/userpix/28_d24fd676652f957034947b03883d59a9_1.png[/img]

Avots

[nabadanga]

Vajadzētu vēl saprast, vai tas darbojas pret visām Petya versijām. Petya autori bija paņēmuši garās brīvdienas un kopš 1. aprīļa neizlaida jaunas Petya versijas līdz šodienai. Ļoti iespējams, ka šodienas Petya jau ir ar “labojumiem”.

[MeistarsUnVergs]

Cik saprotu, darbojas tad, ja Petya nav paspējis nošifrēt visu disku, un par paroles avotu izmantotais seeds ir pieejams nešifrēts.

[samurajs]

Nav obligāti. Tas Peķka ierakstās 63 tukšajos sektoros starp MBR un partīciju tabulām. Sāknēšanas apgabals kriptēts netiek.

[MeistarsUnVergs]

TrueCrypt bootloaderis dara tā pat. Tātad sanāk ka Petya izmanto vienu un to pašu statisko key, kurš ir XOR ar random salt, lai iegūtu īsto kriptēšanas key? Ja tā, tad tas iespējams tiks sataisīts, un dekriptēšanas atslēga glabāsies tikai hakeru serverī. Š inī gadījumā izskatās ka Petyas autori ir izlēmuši iztikt bez centrālā servera, bet atslēgu izkalkulēt paši no salt un viņiem (un tagad arī pārējiem) zināmā statiskā key.

[Autors]

Ieraksti