Securitate

Will Crack Petya Ransomware aduce înapoi fișierele dvs.?

Will Crack Petya Ransomware aduce înapoi fișierele dvs.? / Securitate

Ransomware este în creștere. Cyber-criminali au crescut mizele Dincolo de calculator: 5 moduri de Ransomware vă va lua captiv în viitor dincolo de computer: 5 moduri de Ransomware vă va lua în captivitate în viitor Ransomware este probabil cel mai nasol malware acolo, iar infractorii care o folosesc devin din ce în ce mai mult avansat, Iată cinci lucruri îngrijorătoare care ar putea fi luate ostatic în curând, inclusiv case inteligente și mașini inteligente. Citiți mai multe în bătălia pentru datele dvs., introducând o serie de programe malware avansate concepute pentru a vă cripta datele personale. Scopul lor final este de a extrage bani de la tine. Cu excepția cazului în care cerințele acestora sunt îndeplinite, fișierele dvs. criptate vor rămâne neacoperite.

Indisponibil. Pierdut.

Atacurile asupra persoanelor nu sunt incomparabile. Nici nu scoteri de titluri. Dar, în 2015, FBI a primit doar 2.500 de plângeri legate direct de atacurile legate de ransomware, în valoare de aproximativ 24 milioane de dolari pierdute pentru victime.

Cu puțin peste două săptămâni în urmă, o nouă variantă de răscumpărare, Petya, a apărut. Cu toate acestea, imediat după ce cercetătorii de securitate începuseră să administreze avertismente cu privire la capabilitățile ransomware și modurile specifice de atac, un individ iritat a spart criptarea Petya. Aceasta înseamnă că mii de potențiali victime își pot decripta în siguranță dosarele, economisind timp, bani și munți de frustrare.

De ce Petya este diferită

Ransomware infecții, de obicei, urmați o cale liniară Ce este un Bootkit, și este Nemesis o adevărată amenințare? Ce este un bootkit, și este Nemesis o adevărată amenințare? Hackerii continuă să găsească modalități de a perturba sistemul dvs., cum ar fi bootkit-ul. Să ne uităm la ce este bootkit, cum funcționează varianta Nemesis și să ia în considerare ce puteți face pentru a rămâne clar. Citeste mai mult . Odată ce un sistem este compromis, ransomware-ul scanează întregul computer Nu scăpați de greșelile escrocilor: Un ghid pentru Ransomware și alte amenințări Nu scăpați de greșelile escrocilor: Un ghid pentru Ransomware și alte amenințări Citiți mai mult și începeți criptarea proces. În funcție de varianta de răscumpărare Evitați să cădeți victima acestor trei înșelăciuni Ransomware Evitați să cădeți victima acestor trei înșelăciuni Ransomware Câteva escrocherii proeminente de răscumpărare sunt în circulație în acest moment; să trecem peste trei dintre cele mai devastatoare, astfel încât să le puteți recunoaște. Citiți mai mult, locațiile rețelei pot fi, de asemenea, criptate. Odată ce procesul de criptare este completat, ransomware-ul transmite un mesaj către utilizator informându-i despre opțiunile lor: plătiți-vă sau pierdeți Nu plătiți - cum să bateți Ransomware! Nu plătiți - cum să bateți Ransomware! Imaginați-vă dacă cineva sa arătat la ușa dvs. și a spus: "Hei, în casa ta sunt șoareci pe care nu le știi. Dă-ne 100 $ și vom scăpa de ei". Acesta este Ransomware ... Citește mai mult .

Variantele recente din ransomware au văzut fișierele de utilizatori personale ignorate, alegând în schimb să cripteze Master File Table (MFT) al unității C:, făcând efectiv un computer inutil.

Master Tabela de fișiere

Petya a fost în mare parte distribuită printr-o campanie de e-mail rău intenționată.

“Victimele vor primi un e-mail adaptat să arate și să citească ca un mesaj missive de afaceri de la un “solicitant” căutarea unei poziții într-o companie. Acesta ar prezenta utilizatorilor un hyperlink către o locație de stocare Dropbox, care se presupune că ar permite utilizatorului să descarce curriculum vitae (CV).”

Odată instalat, Petya începe să înlocuiască Master Boot Record (MBR). MBR reprezintă informațiile stocate în primul sector al hard disk-ului, conținând codul care localizează partiția primară activă. Procesul de suprascriere împiedică încărcarea Windows în mod normal, precum și prevenirea accesului la modul Safe.

Odată ce Petya a suprascris MBR-ul, acesta criptează MFT, un fișier găsit pe partițiile NTFS care conțin informații critice despre fiecare alt fișier de pe unitate. Petya forțează apoi o repornire a sistemului. La reboot, utilizatorul întâlnește o scanare falsă CHKDSK. În timp ce scanarea pare să asigure integritatea volumului, contrariul este adevărat. Când CHKDSK se termină și Windows încearcă să se încarce, MBR modificat va afișa un craniu ASCII cu un ultimatum pentru a plăti o răscumpărare, de obicei în Bitcoin.

Prețul de recuperare se ridică la aproximativ 385 USD, deși acest lucru se poate schimba pe baza cursului de schimb Bitcoin. Dacă utilizatorul decide să ignore avertizarea, Bitcoin Rambursul se dublează. Dacă utilizatorul continuă să reziste încercării de extorcare, autorul Petya ransomware va șterge cheia de criptare.

Misiunea Hack-Petya

În cazul în care designerii de rromi sunt, de obicei, extrem de atenți în alegerea lor de criptare, autorul lui Petya “a alunecat.” Un programator neidentificat și-a dat seama cum să spargă criptarea lui Petya după un an “Vizita de Paști la socrul meu ma dus în această mizerie.”

Crackul este capabil să dezvăluie cheia de criptare necesară deblocării înregistrării master boot criptate, eliberând fișierele de sistem captive. Pentru a recâștiga controlul fișierelor, utilizatorii vor trebui mai întâi să înlăture unitatea hard disk infectată de pe computer și să o atașeze la alt computer de lucru. Apoi pot extrage un număr de șiruri de date pentru a intra în instrument.

Extragerea datelor este dificilă, necesitând instrumente și cunoștințe specializate. Din fericire, angajatul Emsisoft, Fabian Wosar, a creat un instrument special pentru a atenua această problemă “decriptarea reală mai ușor de utilizat.” Puteți găsi Petya Sector Extractor aici. Descărcați și salvați-l pe desktopul computerului utilizat pentru remediere.

Ar putea "jurnaliști" să înceapă să-și facă temele? Nu sunt responsabil pentru ca Petya să fie decriptabilă. Credit @leo_and_stone.

- Fabian Wosar (@fwosar) 15 aprilie 2016

Instrumentul lui Wosar extrage cele 512 de octeți necesare pentru fisura Petya, “începând cu sectorul 55 (0x37h), cu un decalaj de 0 și 8 octeți nonce din sectorul 54 (0x36) offset: 33 (0x21).” Odată ce datele sunt extrase, instrumentul îl va converti la codarea Base64 necesară. Acesta poate fi apoi introdus în site-ul petya-no-pay-ransom.

Am oferit doar un mic instrument de 50 linii care face decriptarea reală mai ușor de utilizat.

- Fabian Wosar (@fwosar) 15 aprilie 2016

După ce ați generat parola de decriptare, scrieți-o. Acum va trebui să înlocuiți hard diskul, apoi să încărcați sistemul infectat. Când apare ecranul de blocare Petya, puteți introduce cheia de decriptare.

Un tutorial detaliat despre extragerea șirului de date, introducerea datelor convertite în site și generarea parolei de decriptare poate fi găsită aici.

Decriptarea pentru toata lumea?

Combinația dintre crack-ul de criptare al lui leo-stone și extractorul sectorial Petya Fabian Wosar fac citirea fericită. Oricine cu cunoștințele tehnice să găsească o soluție pentru fișierele criptate ar putea să aibă o șansă de a-și recupera controlul asupra datelor.

Acum, soluția a fost simplificată, acei utilizatori fără cunoștințe tehnice ar putea lua sistemul lor infectat într-un magazin local de reparații și ar informa tehnicienii despre ce au nevoie sau cel puțin ceea ce cred că au nevoie.

Cu toate acestea, chiar și ca calea spre fixare acest varianta specială de rromi a devenit mult mai ușoară, ransomware-ul este încă o problemă masivă, în continuă dezvoltare, cu care se confruntă fiecare dintre noi Ransomware păstrează creșterea - cum vă puteți proteja? Ransomware păstrează creșterea - cum vă puteți proteja pe tine însuți? Citeste mai mult . Și, în ciuda faptului că această cale este mai ușor de găsit și mai ușor de urmărit, autorii ransomware știu că există o marea majoritate a utilizatorilor care nu vor avea deloc speranța că vor decripta fișierele, singura lor șansă de recuperare prin Bitcoin rece,.

În ciuda codării inițiale faux pas, Sunt sigur că autorii Petya de răscumpărare nu se află în jur, simțindu-se rău pentru ei înșiși. Acum că această metodă de crack și decriptare câștigă tracțiune, este probabil să lucreze la actualizarea codului lor pentru a dezactiva soluția, închizând din nou ușa pe recuperarea datelor încă o dată.

Ai fost o victimă de răscumpărare? Ați reușit să vă recuperați dosarele sau ați plătit răscumpărarea? Spuneți-ne mai jos!

Explorați mai multe despre: Ransomware.