Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.

Видео: Криптовымогатель Petya



Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.

Это сообщение отредактировал murray - 12.04.2016 - 17:35

Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно:


Это сообщение отредактировал murray - 12.04.2016 - 17:29

Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты

Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Это сообщение отредактировал murray - 12.04.2016 - 17:31

Извиняюсь, но просьбы не ломать не видел


Закиньте эту хорошую штуку на мыло центробанка , адрес для биткоентов скину позже

Это сообщение отредактировал Zveryga - 12.04.2016 - 17:32

Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

Отсюда:
https://geektimes.ru/post/274104/

Спасибо тебе, добрый человек!
Ещё раз подтвердил русскую поговорку, что "на каждую хитрую жёппу найдётся хрен винтом".

Как говорил один мой знакомый
"Хорошего человека-Петей не назовут"

Удивляет пассивность всех силовиков Мира по ловле этих шифрунов. Не думаю, что это сложно, тем более сообща.

Это сообщение отредактировал dinamita - 12.04.2016 - 17:35

А в это время, Петя компиляет новую версию своей поделки.

Немного знаю изнутри полицейскую кухню.
Вы не поверите насколько до лампы им проблемы населения.
Я никогда не видел настолько ленивого планктона, ни в одном офисе.

может leostone сам и разработал Петю, чтобы заработать рейтинг?

А петю не поймают ни как , на какие счета он деньги выпрашивает, и когда старпер Путин обратит внимание на кибер преступность.

Не зря есть другая поговорка: "проблемы индейцев шерифа не ебут тревожат".

Да ладно Вам, контрольная панель пети уже давно в базах всех вендоров находится. Но вообще спасибо ТС, давно я гик не листал.

Вот только не пойму, антивирусники, что не ловят эту фигню, ведь засечь доступ к диску, а тем более к таблицам ФС, это их профиль быть должен? Кто в курсе?

Производители антивирусов в свободное время пишут вирусы. Любой дурак знает. Им же тестировать нужно программы свои. Но видимо вот до такого еще не додумались.
Для винлокеров же тоже не сразу генераторы ключей появились

Тот же самый риторический вопрос. Почему авторы антивирусов по умолчанию не включают любые программы-шифраторы в список зловредов и разрешают им запускаться? Особенно в скрытом режиме и без вывода на экран десятка подтверждений аршинными буквами вида "Приятель, ты ТОЧНО уверен в своих действиях?"

"Совпадение? Не думаю." ©

Тот же вопрос относительно яндексо-гугло-мейлрушных хреней и прочих амиг.

Это сообщение отредактировал beerson - 12.04.2016 - 18:10

Есть мнение, что код антивирусников и всякой дряни - троянов, вирусов, шифровальщиков - пишут одни и те же люди. Не будь вирусов и троянов, кто бы платил за антивирусы? Целая отрасль... Переходите, люди, на линукс!

Это сообщение отредактировал taper - 12.04.2016 - 18:12

Предлагаю десяток лет потратить на изучение технологий. Или не нести чушь. В большинстве случаев через API можно даже сделать всякие доступы не только к FAT, про низкоуровневый доступ я вообще молчу.
Вот веселье будет когда он будет под каждую файловую систему свой алгоритм использовать и подменять загрузчики.
Тогда и виндузятники и линуксоиды и маководы хлебнут...
Пока петю писали студенты, если они програмера на asm подтянут- начнется заваруха.

мне на петю похуй, даже если он мне диск зашифрует я его нулями забью

А в виртуальную машину линя поставить или рядом с мелкомягкими для таких петь и прочих имплантов в виде прикрепленных к почте файлов народу наверное религия не позволяет.

а если писатель этой хуеты обидется и там пароля вообще не будет?

Да ладно.

Linux троян принимает скриншоты каждые 30 секунд, имеет возможность записывать звук.

Здесь: https://www.grahamcluley.com/2016/01/linux-...y-record-sound/

Там на буржуинском.