Will The Petya Ransomware Crack riporta i tuoi file?

Il ransomware è in aumento. I criminali informatici hanno alzato la posta Oltre il tuo computer: 5 modi il ransomware ti porterà prigioniero in futuro oltre il tuo computer: 5 modi il ransomware ti porterà prigioniero nel futuro Il ransomware è probabilmente il malware più brutto e i criminali che lo usano stanno diventando più avanzato, Ecco cinque cose preoccupanti che potrebbero essere prese in ostaggio presto, comprese case intelligenti e auto intelligenti. Leggi di più nella battaglia per i tuoi dati, introducendo swathes di malware avanzato progettati per crittografare i tuoi dati personali. Il loro obiettivo finale è estorcere denaro a te. A meno che le loro richieste non siano soddisfatte, i file crittografati rimarranno fuori dalla portata.

Non disponibile. Perso.

Gli attacchi contro gli individui non sono rivoluzionari. Né stanno lanciando i titoli. Ma il 2015 ha visto l'FBI ricevere poco meno di 2.500 reclami relativi direttamente agli attacchi ransomware, per un totale di circa $ 24 milioni di perdite per le vittime.

Poco più di due settimane fa, una nuova variante di ransomware, Petya, è emerso. Tuttavia, non appena i ricercatori di sicurezza hanno iniziato a somministrare avvertimenti riguardanti le capacità del ransomware e le specifiche modalità di attacco, un individuo irritato ha infranto la crittografia di Petya. Ciò significa che migliaia di potenziali vittime possono decifrare i propri file in modo sicuro, risparmiando tempo, denaro e montagne di frustrazione.

Perché Petya è diversa

Le infezioni ransomware di solito seguono un percorso lineare. Che cos'è un bootkit e Nemesis è una minaccia autentica? Che cos'è un bootkit e Nemesis è una minaccia autentica? Gli hacker continuano a trovare modi per interrompere il sistema, come ad esempio il bootkit. Diamo un'occhiata a ciò che è un bootkit, come funziona la variante Nemesis e consideriamo cosa puoi fare per essere chiaro. Leggi di più . Una volta che un sistema è stato compromesso, il ransomware esegue la scansione dell'intero computer Non cadere in disgrazia dei truffatori: una guida al ransomware e altre minacce non cadono in fallo degli scammer: una guida al ransomware e altre minacce Leggi di più e inizia la crittografia processi. A seconda della variante del ransomware Evitare di cadere vittima di queste tre truffe Ransomware Evitare di cadere vittima di queste tre truffe Ransomware Diverse truffe ransomware di primo piano sono in circolazione al momento; andiamo oltre tre dei più devastanti, quindi puoi riconoscerli. Ulteriori informazioni, le posizioni di rete possono anche essere crittografate. Una volta completato il processo di crittografia, il ransomware invia un messaggio all'utente informandolo in merito alle proprie opzioni: pagare o perdere Non pagare - Come sconfiggere Ransomware! Non pagare - How To Beat Ransomware! Provate a immaginare se qualcuno si è presentato a casa vostra e ha detto: "Ehi, in casa ci sono topi di cui non sapevate, dateci $ 100 e ce ne sbarazzeremo". Questo è il Ransomware ... Leggi di più .

Le recenti variazioni nel ransomware hanno visto i file utente personali ignorati, scegliendo di crittografare invece il Master File Table (MFT) dell'unità C:, rendendo in modo efficace un computer inutilizzabile.

Tabella file master

Petya è stato ampiamente distribuito attraverso una campagna di email dannose.

“Le vittime riceveranno una e-mail su misura per guardare e leggere come una missiva legata al business da un “richiedente” cercare una posizione in un'azienda. Presenterebbe agli utenti un collegamento ipertestuale a una posizione di archiviazione Dropbox, che presumibilmente consentirebbe all'utente di scaricare il curriculum vitae di detto richiedente (CV).”

Una volta installato, Petya inizia a sostituire il Master Boot Record (MBR). L'MBR è l'informazione memorizzata nel primo settore del disco rigido, contenente il codice che individua la partizione primaria attiva. Il processo di sovrascrittura impedisce il normale caricamento di Windows e impedisce l'accesso alla modalità provvisoria.

Una volta che Petya ha sovrascritto l'MBR, crittografa la MFT, un file trovato su partizioni NTFS contenenti informazioni critiche su ogni altro file sull'unità. Petya forza quindi il riavvio del sistema. Al riavvio, l'utente incontra una falsa scansione CHKDSK. Mentre la scansione sembra garantire l'integrità del volume, è vero il contrario. Quando il CHKDSK è completo e Windows tenta di caricare, l'MBR modificato mostrerà un teschio ASCII con un ultimatum per pagare un riscatto, di solito in Bitcoin.

Il prezzo di recupero si attesta a circa $ 385, anche se questo può cambiare in base al tasso di cambio Bitcoin. Se l'utente decide di ignorare l'avviso, il riscatto di Bitcoin raddoppia. Se l'utente continua a resistere al tentativo di estorsione, l'autore di Petya ransomware cancellerà la chiave di crittografia.

Missione Hack-Petya

Dove i progettisti di ransomware di solito sono estremamente attenti nella scelta della crittografia, l'autore di Petya “scivolato.” Un programmatore non identificato ha capito come rompere la crittografia di Petya dopo un “La visita di Pasqua a mio suocero mi ha messo [lui] in questo casino.”

Il crack è in grado di rivelare la chiave di crittografia necessaria per sbloccare il record di avvio principale crittografato, rilasciando i file di sistema in cattività. Per riprendere il controllo dei file, gli utenti dovranno prima rimuovere il disco rigido infetto dal computer e collegarlo a un altro computer funzionante. Possono quindi estrarre un numero di stringhe di dati da inserire nello strumento.

L'estrazione dei dati è difficile, richiede strumenti e conoscenze specialistici. Fortunatamente, l'impiegato di Emsisoft, Fabian Wosar, ha creato uno strumento speciale per alleviare questo problema “la decifrazione effettiva più user friendly.” Qui puoi trovare l'estrattore del settore Petya. Scarica e salvalo sul desktop del computer utilizzato per la correzione.

Potrebbero "giornalisti" iniziare a fare i compiti? Non sono responsabile del fatto che Petya sia decifrabile. Credito @leo_and_stone.

- Fabian Wosar (@fwosar), 15 aprile 2016

Lo strumento di Wosar estrae i 512-byte richiesti per il crack di Petya, “a partire dal settore 55 (0x37h) con un offset di 0 e il nonce di 8 byte dall'offset del settore 54 (0x36): 33 (0x21).” Una volta estratti i dati, lo strumento convertirà la codifica Base64 necessaria. Può quindi essere inserito nel sito Web di petya-no-pay-riscatto.

Ho semplicemente fornito un piccolo strumento da 50 righe che rende la decrittografia effettiva più facile da usare.

- Fabian Wosar (@fwosar), 15 aprile 2016

Dopo aver generato la password di decrittografia, scriverla. Ora dovrai sostituire il disco rigido, quindi avviare il sistema infetto. Quando viene visualizzata la schermata di blocco di Petya, è possibile inserire la chiave di decodifica.

Un tutorial dettagliato sull'estrazione delle stringhe di dati, l'inserimento dei dati convertiti nel sito Web e la generazione della password di decrittografia sono disponibili qui.

Decifratura per tutti?

La combinazione del crack di crittografia di leo-stone e del Petya Sector Extractor di Fabian Wosar rendono felice la lettura. Chiunque abbia le conoscenze tecniche per cercare una soluzione per i propri file crittografati potrebbe trovarsi in una possibilità di lotta per riconquistare il controllo dei propri dati.

Ora la soluzione è stata semplificata, quegli utenti senza grosse conoscenze tecniche potrebbero prendere il loro sistema infetto in un negozio di riparazioni locale e informare i tecnici di ciò che deve fare, o almeno quello che credono di dover fare.

Tuttavia, anche come via per il fissaggio Questo particolare variante di ransomware è diventata molto più semplice, il ransomware è ancora un problema enorme e in costante sviluppo che sta affrontando ciascuno di noi. Ransomware continua a crescere - Come puoi proteggerti? Il ransomware continua a crescere - Come puoi proteggerti? Leggi di più . E, nonostante questo percorso sia più facile da trovare e più facile da seguire, gli autori di ransomware sanno che c'è una grande maggioranza di utenti che semplicemente non hanno alcuna speranza di decodificare i file, la loro unica possibilità di recupero attraverso Bitcoin freddo, difficile, non rintracciabile.

Nonostante la loro iniziale codifica passo falso, Sono sicuro che gli autori di Petya ransomware non sono seduti in giro, dispiacendosi per se stessi. Ora che questo metodo di crack e decrittografia sta guadagnando slancio probabilmente stanno lavorando all'aggiornamento del loro codice per disabilitare la soluzione, chiudendo di nuovo la porta sul recupero dei dati.

Sei stato vittima di un ransomware? Sei riuscito a recuperare i tuoi file o hai pagato il riscatto? Facci sapere di seguito!

Scopri di più su: Ransomware.