Vil Petya Ransomware Crack bringe dine filer tilbage?

Reklame

Ransomware er på vej op. Cyberkriminelle har hævet indsatsen Ud over din computer: 5 måder Ransomware vil tage dig tilbage i fremtidenRansomware er sandsynligvis den vildeste malware derude, og de kriminelle, der bruger det, bliver flere avanceret. Her er fem bekymrende ting, der snart kunne tages som gidsler, herunder smarte hjem og smarte biler. Læs mere i kampen om dine data, introduktion af skår af avanceret malware designet til at kryptere dine personlige data. Deres ultimative mål er at udpresse penge fra dig. Medmindre deres krav er opfyldt, forbliver dine krypterede filer uden for rækkevidde.

Ikke tilgængelig. Faret vild.

Angreb på enkeltpersoner er ikke banebrydende. De er heller ikke med på overskrifterne. Men i 2015 så FBI modtage knap 2.500 klager relateret direkte til ransomware-relaterede angreb, svarende til omkring 24 millioner dollars i tab for ofrene.

For lidt over to uger siden kom en ny ransomware-variant, Petya, opstået. Lige så snart sikkerhedsforskere var begyndt at administrere advarsler om ransomwares muligheder og specifikke angrebsmetoder, en irriteret person knækkede Petya kryptering. Dette betyder, at tusinder af potentielle ofre sikkert kan dekryptere deres filer, hvilket sparer tid, penge og bjerge af frustration.

Hvorfor Petya er anderledes

ransomware infektioner følger normalt en lineær vej Hvad er en bootkit, og er Nemesis en ægte trussel?Hackere fortsætter med at finde måder at forstyrre dit system, f.eks. Bootkit. Lad os se på, hvad en bootkit er, hvordan Nemesis-varianten fungerer, og overveje, hvad du kan gøre for at forblive klar. Læs mere . Når et system er kompromitteret, vil ransomware scanner hele computeren Må ikke falde af svindlere: En guide til Ransomware & andre trusler Læs mere og starter krypteringsprocessen. Afhængig af ransomware-varianten Undgå at falde offer for disse tre ransomware-svindelFlere prominente ransomware-svindel er i omløb i øjeblikket; lad os gå over tre af de mest ødelæggende, så du kan genkende dem. Læs mere , kan netværksplaceringer også være krypteret. Når krypteringsprocessen er afsluttet, leverer ransomware en meddelelse til brugeren, der informerer dem om deres muligheder: betale eller tab Betal ikke - Hvordan man slår Ransomware!Forestil dig, hvis nogen dukkede op lige uden for døren og sagde: "Hej, der er mus i dit hus, som du ikke vidste om. Giv os 100 $, så slipper vi af med dem. "Dette er Ransomware ... Læs mere .

De seneste variationer i ransomware har set personlige brugerfiler ignoreret, idet de i stedet vælger at kryptere Master File Table (MFT) på C: drevet, hvilket effektivt gør en computer ubrugelig.

Master File Table

Petya er stort set distribueret igennem en ondsindet e-mail-kampagne.

”Ofre ville modtage en e-mail, der er skræddersyet til at se ud og læse som et forretningsrelateret missiv fra en” ansøger ”, der søger en stilling i et firma. Det ville give brugerne et hyperlink til et Dropbox-lagerplads, som angiveligt ville lade brugeren downloade sagde ansøgers curriculum vitae (CV). ”

Når det først er installeret, begynder Petya at udskifte Master Boot Record (MBR). MBR er de oplysninger, der er gemt i den første sektor på harddisken, der indeholder koden, der lokaliserer den aktive primære partition. Overskrivningsprocessen forhindrer, at Windows indlæses normalt, samt forhindrer adgang til Safe Mode.

Når Petya har overskrevet MBR, krypterer den MFT, en fil, der findes på NTFS-partitioner, der indeholder kritisk information om alle andre filer på drevet. Petya tvinger derefter et systemstart. Ved genstart støder brugeren på en falsk CHKDSK-scanning. Mens scanningen ser ud til at sikre lydstyrkeintegritet, er det modsatte sandt. Når CHKDSK er færdig, og Windows forsøger at indlæse, viser den ændrede MBR en ASCII-kranium med et ultimatum til at betale en løsepenge, normalt i Bitcoin.

Gendannelseskursen ligger på cirka $ 385, selvom dette kan ændre sig baseret på Bitcoin-valutakursen. Hvis brugeren beslutter at ignorere advarslen, fordobles Bitcoin løsepenge. Hvis brugeren fortsætter med at modstå extortionsforsøget, vil Petya ransomware-forfatteren slette krypteringsnøglen.

Hack-Petya Mission

Hvor ransomware-designere som regel er ekstremt omhyggelige med deres valg af kryptering, "gled Petias forfatter op." En uidentificeret programmør regnede ud, hvordan man knækker Petyas kryptering efter en ”Påskebesøg hos min svigerfar fik mig [ham] til dette rod.”

Krakken er i stand til at afsløre den krypteringsnøgle, der er nødvendig for at låse den krypterede master-boot-record op, og frigive de filer, der er i fangenskab For at genvinde kontrollen over filerne skal brugerne først fjerne den inficerede harddisk fra computeren og vedhæfte den til en anden arbejdscomputer. De kan derefter udpakke et antal datastrenge for at komme ind i værktøjet.

Udpakning af dataene er vanskelige, hvilket kræver specialværktøjer og viden. Heldigvis Emsisoft medarbejder Fabian Wosar oprettet et specielt værktøj til at afhjælpe dette problem, hvilket gør "den faktiske dekryptering mere brugervenlig." Du kan finde Petya Sector Extractor her. Download og gem det på skrivebordet på den computer, der bruges til rettelse.

Kunne "journalister" venligst begynde at lave deres hjemmearbejde? Jeg er ikke ansvarlig for, at Petya kan dekrypteres. Kredit @leo_and_stone.

- Fabian Wosar (@fwosar) 15. april 2016

Wosars værktøj udtrækker de 512-bytes, der kræves til Petya crack, “Starter i sektor 55 (0x37 timer) med en forskydning på 0 og 8 byte nonce fra sektor 54 (0x36) forskydning: 33 (0x21). ” Når dataene er trukket ud, konverteres værktøjet til den nødvendige Base64 indkodning. Det kan derefter indtastes i websted for petya-no-pay-løsepenge.

Jeg leverede blot et lille ~ 50 linjeværktøj, der gør den faktiske dekryptering mere brugervenlig.

- Fabian Wosar (@fwosar) 15. april 2016

Når du har genereret dekrypteringsadgangskoden, skal du skrive den ned. Du skal nu udskifte harddisken og derefter starte det inficerede system op. Når Petya-låseskærmen vises, kan du indtaste din dekrypteringsnøgle.

En detaljeret tutorial om ekstraktion af datastreng, indtastning af de konverterede data på webstedet og generering af dekrypteringsadgangskode kan findes her.

Dekryptering for alle?

Kombinationen af ​​leo-sten's krypteringskrak og Fabian Wosars Petya Sector Extractor giver god læsning. Enhver med den tekniske viden til at søge en løsning for deres krypterede filer kan være i en kæmpe chance for at genvinde kontrol over deres data.

Nu er løsningen blevet forenklet, disse brugere uden rækker af teknisk viden kunne praktisk talt tage deres inficeret system til et lokalt værksted og informere teknikerne om, hvad der skal gøres, eller i det mindste hvad de tror har brug for at gøre.

Dog selv som vejen til fastsættelse det her særlig ransomware-variant er blevet så meget lettere, ransomware er stadig en massiv, et stadigt udviklende problem, som vi hver især står overfor Ransomware holder sig voksende - Hvordan kan du beskytte dig selv? Læs mere . Og til trods for at denne vej er lettere at finde og lettere at følge, ved ransomware-forfatterne, at der er et stort flertal af brugere, der simpelthen ikke har noget håb om at dekryptere filerne, deres eneste chance for gendannelse gennem koldt, hårdt, ikke sporbart Bitcoin.

På trods af deres oprindelige kodning faux pas, Jeg er sikker på, at Petya ransomware-forfatterne ikke sidder rundt og synes synd på sig selv. Nu hvor denne crack- og dekrypteringsmetode vinder trækkraft, arbejder de sandsynligvis med at opdatere deres kode for at deaktivere løsningen, og lukke døren for datagendannelse igen.

Har du været et ransomware-offer? Har du formået at gendanne dine filer, eller betalte du løsepenge? Fortæl os det nedenfor!