Vil Petya Ransomware Crack ta med deg filene dine?

Vil Petya Ransomware Crack ta med deg filene dine? / Sikkerhet

Ransomware er på vei oppover. Cyberkriminelle har opped innsatsene utenfor datamaskinen: 5 måter Ransomware vil ta deg fange i fremtiden utover datamaskinen: 5 måter Ransomware vil ta deg fange i fremtiden Ransomware er trolig den nestiest malware der ute, og de kriminelle som bruker det, blir mer Avansert, Her er fem bekymringsfulle ting som kan bli tatt i gis snart, inkludert smarte hjem og smarte biler. Les mer i kampen for dataene dine, og legg inn svinger av avansert malware som er laget for å kryptere dine personlige data. Deres endelige mål er å presse penger fra deg. Med mindre deres krav er oppfylt, vil de krypterte filene forbli utilgjengelige.

Utilgjengelig. Tapt.

Angrep på enkeltpersoner er ikke banebrytende. De kaster heller ikke overskriftene. Men 2015 så FBI mottar bare under 2500 klager knyttet direkte til ransomware-relaterte angrep, noe som utgjorde omtrent $ 24 millioner i tap for ofrene.

For over to uker siden, en ny ransomware-variant, Petya, dukket opp. Men så snart sikkerhetsforskere hadde begynt å administrere advarsler om ransomwareens evner og bestemte angrepsmetoder, revet en irritert person Petya-kryptering. Dette betyr at tusenvis av potensielle ofre sikkert kan dekryptere sine filer, og sparer tid, penger og frustrasjonsfjell.

Hvorfor Petya er annerledes

Ransomware infeksjoner følger vanligvis en lineær sti Hva er en Bootkit, og er Nemesis en ekte trussel? Hva er en Bootkit, og er Nemesis en ekte trussel? Hackere fortsetter å finne måter å forstyrre systemet, for eksempel bootkit. La oss se på hva en bootkit er, hvordan Nemesis-varianten fungerer, og se hva du kan gjøre for å holde deg klar. Les mer . Når et system er kompromittert, skanner ransomware hele datamaskinen. Ikke fall Foul of the Scammers: En veiledning til Ransomware og andre trusler faller ikke feil av svindlere: En guide til Ransomware og andre trusler. Les mer og begynn kryptering prosess. Avhengig av ransomware-varianten Unngå fallende offer for disse tre Ransomware-svindelene, unngår å falle offer for disse tre Ransomware-svindelene. Flere fremtredende ransomware-svindel er i omløp for øyeblikket; la oss gå over tre av de mest ødeleggende, så du kan gjenkjenne dem. Les mer, nettverkssteder kan også krypteres. Når krypteringsprosessen er fullført, leverer ransomware en melding til brukeren som informerer dem om deres alternativer: betale opp, eller gå glipp av. Ikke betal opp. Slik slår du Ransomware! Ikke betal deg - hvordan å slå Ransomware! Tenk deg om noen viste seg på dørstokken din og sa: "Hei, det er mus i huset ditt som du ikke visste om. Gi oss $ 100, og vi blir kvitt dem." Dette er Ransomware ... Les mer .

Nylige variasjoner i ransomware har sett bort personlige brukerfiler, og velger å istedenfor kryptere MFT-fil (MFT) på C: -drevet, noe som effektivt gjør en datamaskin ubrukelig.

Master filtabell

Petya har i stor grad blitt distribuert gjennom en ondsinnet e-postkampanje.

“Ofre vil motta en e-post skreddersydd for å se og lese som en forretningsmessig missiv fra en “søker” søker en stilling i et selskap. Det ville presentere brukere en hyperkobling til en Dropbox-lagringsplass, som tilsynelatende ville la brukeren laste ned saksøkerens CV-CV (CV).”

Når Petya er installert, begynner den å erstatte Master Boot Record (MBR). MBR er informasjonen som er lagret i den første delen av harddisken, som inneholder koden som lokaliserer den aktive primære partisjonen. Overskrivingsprosessen forhindrer Windows i å laste inn normalt, samt hindre tilgang til sikker modus.

Når Petya har overskrevet MBR, krypterer den MFT, en fil funnet på NTFS-partisjoner som inneholder kritisk informasjon om alle andre filer på stasjonen. Petya tvinger deretter en systemstart. Ved omstart opplever brukeren en falsk CHKDSK-skanning. Mens skanningen ser ut til å sikre volumintegritet, er motsatt sant. Når CHKDSK fullfører og Windows prøver å laste, vil den modifiserte MBR vise en ASCII-skalle med et ultimatum for å betale et løsepris, vanligvis i Bitcoin.

Gjenopprettingspris står på omtrent $ 385, men dette kan endres ut fra Bitcoin-valutakursen. Hvis brukeren bestemmer seg for å ignorere advarselen, fordobles Bitcoin løsepenge. Hvis brukeren fortsetter å motstå utpressingsforsøket, vil Petya ransomware forfatteren slette krypteringsnøkkelen.

Hack-Petya-oppdrag

Hvor ransomware-designere er vanligvis ekstremt forsiktige i deres valg av kryptering, Petyas forfatter “gled opp.” En uidentifisert programmør fant ut hvordan man kan knekke Petyas kryptering etter en “Påsken til svigerfaren fikk meg til ham i dette rotet.”

Springen er i stand til å avsløre krypteringsnøkkelen som trengs for å låse opp den krypterte hovedoppstartsposten, og frigjøre de fangede systemfilene. For å gjenvinne kontrollen over filene, må brukerne først fjerne den infiserte harddisken fra datamaskinen og legge den til en annen arbeidsdator. De kan deretter trekke ut en rekke datastrenger for å komme inn i verktøyet.

Utpakking av data er vanskelig, og krever spesialverktøy og kunnskap. Heldigvis skapte Emsisoft-medarbeider Fabian Wosar et spesielt verktøy for å lindre dette problemet “den faktiske dekryptering mer brukervennlig.” Du finner Petya Sector Extractor her. Last ned og lagre det på skrivebordet på datamaskinen som brukes til reparasjonen.

Kunne «journalister» vennligst begynne å gjøre leksene sine? Jeg er ikke ansvarlig for at Petya blir dekrypterbar. Kreditt @leo_and_stone.

- Fabian Wosar (@fwosar) 15. april 2016

Wosars verktøy trekker ut de 512 byte som kreves for Petya-sprekket, “starter ved sektor 55 (0x37h) med en offset på 0 og 8 byte nonce fra sektor 54 (0x36) offset: 33 (0x21).” Når dataene er hentet, vil verktøyet konvertere det til nødvendig Base64-koding. Det kan da bli lagt inn på petya-no-pay-ransom nettsiden.

Jeg ga bare et lite ~ 50 linjeværktøy som gjør den faktiske dekrypteringen mer brukervennlig.

- Fabian Wosar (@fwosar) 15. april 2016

Når du har generert dekrypteringspassordet, skriv det ned. Du må nå erstatte harddisken, og deretter starte det infiserte systemet. Når Petya-låseskjermbildet vises, kan du skrive inn dekrypteringsnøkkelen.

En detaljert opplæring om datastrengutvinning, innføring av konverterte data på nettsiden og generering av dekrypteringspassordet finner du her.

Dekryptering for alle?

Kombinasjonen av leo-steins krypteringssprekk og Fabian Wosars Petya Sector Extractor sørger for god lesing. Enhver med den tekniske kunnskapen som søker en løsning for deres krypterte filer, kan være i med en sjanse for å få kontroll over sine data igjen.

Nå har løsningen blitt forenklet, de brukerne som ikke har teknologiske kunnskaper, kan feasibly ta sitt infiserte system til en lokal verksted og informere teknikerne om hva som skal gjøres, eller i det minste hva de mener trenger å gjøre.

Men selv som vei til å fikse dette spesiell ransomware-variant har blitt så mye lettere, er ransomware fortsatt et stort, stadig utviklende problem som står overfor hver av oss. Ransomware Holder Voksende - Hvordan kan du beskytte deg selv? Ransomware holder økende - hvordan kan du beskytte deg selv? Les mer . Og til tross for at denne banen er lettere å finne og enklere å følge, vet ransomware forfattere at det er et stort antall brukere som bare ikke har noe håp om å dekryptere filene, deres eneste sjanse for gjenoppretting gjennom kaldt, hardt, uoppnåelig Bitcoin.

Til tross for sin første koding faux pas, Jeg er sikker på at Petya ransomware forfatterne ikke sitter rundt, føler seg lei for seg selv. Nå som denne sprekk- og dekrypteringsmetoden får traksjon, vil de sannsynligvis jobbe med å oppdatere koden for å deaktivere løsningen, lukke døren på datagjenoppretting igjen.

Har du vært et ransomwareoffer? Klarte du å gjenopprette filene dine, eller betalte du løsepenge? Gi oss beskjed nedenfor!

Utforsk mer om: Ransomware.