Адвокат Консалтинг

Написать новость

Вы можете отправить Ваш материал нам, который вскоре появится на наших страницах


> подробнее

Адвокаты

Список адвокатов, готовых помочь Вам в любую минуту


> перейти к списку

Риэлторы

Список риэлторов, которые могут предоставить Вам свои услуги


> перейти к списку

Наши вакансии

Газета "Адвокат-консалтинг" объявляет конкурс на должность


> подробнее

Наша газета

pdf-архив номеров нашей газеты


> подробнее

Видео


Выделение земельного участка бесплатно



Клуб юристов




Официальное обращение




ГрузчикиГрузчики Харьков

Квартирные и офисные Грузчики Харьков

Купить упаковку






Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
Категория: Специальный повод

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя. 

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.





Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска. 

Что нужно делать? 

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки. 

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы. 



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля. 

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте. 

Если все сделано правильно, должно появиться вот такое окно: 



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Источник: https://geektimes.ru/post/274104/


Рейтинг:

Система Orphus



Похожие новости


Комментарии:
Добавление комментария
[not-wysywyg] [/not-wysywyg]
[not-wysywyg][/not-wysywyg]{wysiwyg}
Включите эту картинку для отображения кода безопасности
обновить, если не виден код




«    Сентябрь 2019    »
ПнВтСрЧтПтСбВс
 1
2345678
9101112131415
16171819202122
23242526272829
30 

Популярное
  • В Харькове несколько судей "отдали под суд" Высшей рады правосудия
  • Китай инвестирует 280 миллиардов долларов в нефтегазовую отрасль Ирана
  • Пересылка посылок в пределах Украины вырастет на 22,7%
  • Щодо нежитлового приміщення (кав’ярні), розміщеної за адресою: вул. Ярослава Мудрого, 2
  • НАТАЛЬЯ ОКУНСКАЯ О БЕГСТВЕ ИЗ СТРАНЫ И ЖИЗНИ В ПАРИЖЕ: «В УКРАИНЕ У ЖЕНЩИН НЕТ ПРАВ»
  • УЧАСТЬ АДВОКАТА В ІНШОМУ ПРОЦЕСІ – ДОСТАТНЯ ПІДСТАВА ДЛЯ ПЕРЕНЕСЕННЯ СУДОВОГО ЗАСІДАННЯ
  • Как открыть бизнес с помощью торговых онлайн-площадок. Три кейса украинских предпринимателей
  • Первичка или вторичка: где покупать выгоднее
  • Щодо нежитлових приміщень по просп.Московському, 259.
  • НА САЛТОВКЕ С КРЫШИ МНОГОЭТАЖКИ УПАЛ ПАРЕНЬ И ПОГИБ - СОЦСЕТИ

  • Наш опрос

    Погода в Харькове

    Погода в Харькове

    Курс валют (НБУ)

    Курсы НБУ на сегодня

    Курс валют (средний)

    Курсы наличного обмена на сегодня











    Аудиоролики - Рекламная Студия

    Студия звукозаписи

















    Редакция может не разделять мнение авторов публикаций. Редакция не несёт ответственности за публикации с других сайтов.

    Все права на материалы, находящиеся на сайте www.advocat-cons.info, охраняются в соответствии с законодательством Украины. При любом использовании материалов сайта гиперссылка на www.advocat-cons.info обязательна. По вопросам размещения рекламы или информации на сайте обращаться по телефонам: (057) 737-22-53, 096-114-24-80

    © 2007-2014 Медиагруппа "Адвокат-консалтинг"
    .