Petya ujarzmiona – możliwe odzyskanie danych z dysków bez płacenia okupu

W ostatnim czasie informowaliśmy o nowym zagrożeniu typu ransomware o nazwie Petya. Jest ono szczególnie groźne ze względu na szyfrowanie całego dysku, jednak osoby, które stały się ofiarą szkodnika mogą już odetchnąć z ulgą.

Petya ujarzmiona – możliwe odzyskanie danych z dysków bez płacenia okupu

Celem ataków za pomocą Petyi były przede wszystkim korporacje: plik o rozszerzenie EXE był dystrybuowany wśród pracowników pod przykrywką pliku zawierającego informacje o nowych kandydatach. Jak w zdecydowanej większości takich przypadków zawiódł zatem przede wszystkim czynnik ludzki – rozszerzenie pliku nie było w żaden sposób zamaskowane, co nie odwiodło użytkowników od jego wykonania.

Dalszy rozwój wypadków nie jest trudny do przewidzenia – Petya modyfikowała Master Boot Record a następnie blokowała dostęp do plików. Od tego momentu użytkownik widział na ekranie swojego komputera jedynie czaszkę i instrukcję dotyczące zapłaty okupu w bitcoinach o wartości ok. 600 złotych, który miał przywrócić sprawność urządzenia.

Ransomware Petya verschlüsselt die Festplatte / Ransomware Petya encrypts hard drives

Pojawił się już jednak sposób na odzyskanie danych bez konieczności opłacania okupu. Pod pseudonimem Leo Stone opublikowano na GitHubie kod, który w kilka sekund jest w stanie wygenerować hasło. Trudno jednak stwierdzić, aby należało to zadań łatwych dla osób, które chciały obejrzeć czyjeś CV zapisane w postaci pliku wykonywalnego – chodzi o ekstrakcje 512 bajtów z określonego sektora dysku, a następnie zakodowanie go w Base64. I na to jednak znalazł się sposób

Aby zdobyć hasło najlepiej podłączyć zaszyfrowany dysk do innego komputera i skorzystać z opracowanego przez Fabiana Wosara z niemieckiego Emsisoft, stronie internetowej można po wklejeniu kodu z Petya Extractora w kilka sekund wygenerować hasło.

Petya nie jest jedynym zagrożeniem typu ransomware, które w ostatnim czasie udało się odszyfrować. Dzięki pracy Michaela Gillespiego dane można już także odzyskać z dysków, na których znalazł się szkodnik JigSaw. Wystarczy w windowsowym Menedżerze Zadań zakończyć procesy firefox.exe i drpbx.exe, a następnie uruchomić narzędzie JigSawDecrypter.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (15)