Petya ujarzmiona – możliwe odzyskanie danych z dysków bez płacenia okupu
W ostatnim czasie informowaliśmy o nowym zagrożeniu typu ransomware o nazwie Petya. Jest ono szczególnie groźne ze względu na szyfrowanie całego dysku, jednak osoby, które stały się ofiarą szkodnika mogą już odetchnąć z ulgą.
Celem ataków za pomocą Petyi były przede wszystkim korporacje: plik o rozszerzenie EXE był dystrybuowany wśród pracowników pod przykrywką pliku zawierającego informacje o nowych kandydatach. Jak w zdecydowanej większości takich przypadków zawiódł zatem przede wszystkim czynnik ludzki – rozszerzenie pliku nie było w żaden sposób zamaskowane, co nie odwiodło użytkowników od jego wykonania.
Dalszy rozwój wypadków nie jest trudny do przewidzenia – Petya modyfikowała Master Boot Record a następnie blokowała dostęp do plików. Od tego momentu użytkownik widział na ekranie swojego komputera jedynie czaszkę i instrukcję dotyczące zapłaty okupu w bitcoinach o wartości ok. 600 złotych, który miał przywrócić sprawność urządzenia.
Ransomware Petya verschlüsselt die Festplatte / Ransomware Petya encrypts hard drives
Pojawił się już jednak sposób na odzyskanie danych bez konieczności opłacania okupu. Pod pseudonimem Leo Stone opublikowano na GitHubie kod, który w kilka sekund jest w stanie wygenerować hasło. Trudno jednak stwierdzić, aby należało to zadań łatwych dla osób, które chciały obejrzeć czyjeś CV zapisane w postaci pliku wykonywalnego – chodzi o ekstrakcje 512 bajtów z określonego sektora dysku, a następnie zakodowanie go w Base64. I na to jednak znalazł się sposób
Aby zdobyć hasło najlepiej podłączyć zaszyfrowany dysk do innego komputera i skorzystać z opracowanego przez Fabiana Wosara z niemieckiego Emsisoft, stronie internetowej można po wklejeniu kodu z Petya Extractora w kilka sekund wygenerować hasło.
Petya nie jest jedynym zagrożeniem typu ransomware, które w ostatnim czasie udało się odszyfrować. Dzięki pracy Michaela Gillespiego dane można już także odzyskać z dysków, na których znalazł się szkodnik JigSaw. Wystarczy w windowsowym Menedżerze Zadań zakończyć procesy firefox.exe i drpbx.exe, a następnie uruchomić narzędzie JigSawDecrypter.