Адвокат Консалтинг

Написать новость

Вы можете отправить Ваш материал нам, который вскоре появится на наших страницах


> подробнее

Адвокаты

Список адвокатов, готовых помочь Вам в любую минуту


> перейти к списку

Риэлторы

Список риэлторов, которые могут предоставить Вам свои услуги


> перейти к списку

Наши вакансии

Газета "Адвокат-консалтинг" объявляет конкурс на должность


> подробнее

Наша газета

pdf-архив номеров нашей газеты


> подробнее

Видео


Выделение земельного участка бесплатно



Клуб юристов




Официальное обращение




ГрузчикиГрузчики Харьков

Квартирные и офисные Грузчики Харьков

Купить упаковку






Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
Категория: Специальный повод

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя. 

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.





Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска. 

Что нужно делать? 

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки. 

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы. 



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля. 

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте. 

Если все сделано правильно, должно появиться вот такое окно: 



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Источник: https://geektimes.ru/post/274104/


Рейтинг:

Система Orphus



Похожие новости


Комментарии:
Добавление комментария
[not-wysywyg] [/not-wysywyg]
[not-wysywyg][/not-wysywyg]{wysiwyg}
Включите эту картинку для отображения кода безопасности
обновить, если не виден код




«    Декабрь 2021    »
ПнВтСрЧтПтСбВс
 12345
6789101112
13141516171819
20212223242526
2728293031 

Популярное
  • Справа № 922/3242/20
  • "Судьи говорят про справки СБУ - там же ничего нет". Как власть саботирует суды по санкциям СНБО
  • ГДЕ ОНИ СЕЙЧАС? Динамо Киев - полуфиналист Кубка УЕФА 2009. Динамо - Шахтер! От миллионера до бомжа
  • Повестка в военкомат: виды повесток, правила и порядок вручения и ответственность за неявку
  • ПОЛИЦИЯ ЗАДЕРЖАЛА ПОДОЗРЕВАЕМОГО В УБИЙСТВЕ ЖЕНЩИНЫ НА МОСКОВСКОМ ПРОСПЕКТЕ
  • Сын убитого лидера джамахирии Муамара Каддафи решил баллотироваться в президенты в Ливии
  • Справа № 752/17832/14-ц
  • Силовики разоблачили схему вывоза из Украины сотни тонн драгоценных металлов
  • Колонизация мира за 16-19 век , что это было на самом деле ?
  • Добкин РАССКАЗАЛ ПРАВДУ о Коломойском и Зеленском.

  • Наш опрос


    Курс валют (НБУ)

    Курсы НБУ на сегодня

    Курс валют (средний)











    Аудиоролики - Рекламная Студия

    Студия звукозаписи

















    Редакция может не разделять мнение авторов публикаций. Редакция не несёт ответственности за публикации с других сайтов.

    Все права на материалы, находящиеся на сайте www.advocat-cons.info, охраняются в соответствии с законодательством Украины. При любом использовании материалов сайта гиперссылка на www.advocat-cons.info обязательна. По вопросам размещения рекламы или информации на сайте обращаться по телефонам: (057) 737-22-53, 096-114-24-80

    © 2007-2014 Медиагруппа "Адвокат-консалтинг"
    .