Адвокат Консалтинг

Написать новость

Вы можете отправить Ваш материал нам, который вскоре появится на наших страницах


> подробнее

Адвокаты

Список адвокатов, готовых помочь Вам в любую минуту


> перейти к списку

Риэлторы

Список риэлторов, которые могут предоставить Вам свои услуги


> перейти к списку

Наши вакансии

Газета "Адвокат-консалтинг" объявляет конкурс на должность


> подробнее

Наша газета

pdf-архив номеров нашей газеты


> подробнее

Видео


Выделение земельного участка бесплатно



Клуб юристов




Официальное обращение




ГрузчикиГрузчики Харьков

Квартирные и офисные Грузчики Харьков

Купить упаковку






Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
Категория: Специальный повод

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя. 

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.





Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска. 

Что нужно делать? 

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки. 

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы. 



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля. 

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте. 

Если все сделано правильно, должно появиться вот такое окно: 



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Источник: https://geektimes.ru/post/274104/


Рейтинг:

Система Orphus



Похожие новости


Комментарии:
Добавление комментария
[not-wysywyg] [/not-wysywyg]
[not-wysywyg][/not-wysywyg]{wysiwyg}
Включите эту картинку для отображения кода безопасности
обновить, если не виден код




«    Февраль 2020    »
ПнВтСрЧтПтСбВс
 12
3456789
10111213141516
17181920212223
242526272829 

Популярное
  • Коньяк, водка и разбитые квадроциклы. Как директор НАБУ Сытник оказался в реестре коррупционеров и приведет ли это к его отставке
  • БУДУТ СЛУШАТЬ ЗАНОВО: ДЕЛО КЕРНЕСА ВЕРНУЛИ В СУД ПЕРВОЙ ИНСТАНЦИИ
  • Бывший "министр ДНР" сдался СБУ – спецслужба
  • Газель проти BMW Х5: як власник розтрощеного бусика із потерпілого став обвинуваченим (відео)
  • В Харькове ушла из жизни председатель апелляционного суда
  • БЛАГОДАРЯ ЧИНОВНИКУ, ЗЕМЛИ ЗАПОВЕДНИКА РАЗДАЛИ ЧАСТНИКАМ ПОД ДАЧИ
  • Страсти в Харьковском облсовете: Как антикоррупционер Булах может стать коррупционером
  • «Оманлива відпустка». В Оман прилітав секретар Ради безпеки Росії, коли там був Зеленський (розслідування)
  • Директор департамента ГАСК в Харьковской области отстранена от исполнения служебных обязанностей
  • ОППОНЕНТ МЭРИИ ЗАЯВЛЯЕТ О ПРЕДВЫБОРНОМ ДАВЛЕНИИ

  • Наш опрос

    Погода в Харькове

    Погода в Харькове

    Курс валют (НБУ)

    Курсы НБУ на сегодня

    Курс валют (средний)

    Курсы наличного обмена на сегодня











    Аудиоролики - Рекламная Студия

    Студия звукозаписи

















    Редакция может не разделять мнение авторов публикаций. Редакция не несёт ответственности за публикации с других сайтов.

    Все права на материалы, находящиеся на сайте www.advocat-cons.info, охраняются в соответствии с законодательством Украины. При любом использовании материалов сайта гиперссылка на www.advocat-cons.info обязательна. По вопросам размещения рекламы или информации на сайте обращаться по телефонам: (057) 737-22-53, 096-114-24-80

    © 2007-2014 Медиагруппа "Адвокат-консалтинг"
    .