USD 92.26 ЕВРО 99.71

Эксперты взломали программу-вымогатель Petya. Файлы на жестком диске можно расшифровать бесплатно

Экономика

Техника не совсем простая, но работает

 
Эксперты в области безопасности разработали метод, который позволяет пользователям восстанавливать данные с компьютеров, зараженных программой-вымогателем Petya, не платя выкуп киберпреступниками.
Petya появился на радаре исследователей в прошлом месяце, когда преступники распространяли его среди компаний посредством спам-писем, маскируя их под рабочие приложения. Он выделялся из ряда других программ-вымогателей, поскольку он перезаписывал загрузочный сектор жесткого диска (MBR), в результате чего зараженным компьютерам не удавалось загрузить операционную систему.
Программа заменяет MBR-запись накопителя, запускающую операционную систему, кодом, который шифрует таблицу файлов (MFT) и показывает сообщение с требованием выкупа. MFT представляет собой специальный файл на NTFS-разделах, содержащий информацию обо всех других файлах: их имя, размер и расположение в секторах жесткого диска.
Фактическое содержание файлов пользователя не шифруется, но без MFT операционная система не знает — где эти файлы расположены. Использование инструментов для восстановления файлов возможно, но не гарантирует хороший результат и занимает много времени.
К счастью, в этом методе уже нет необходимости, как и в том, чтбы платить авторам Petya. Некто с ником leostone разработал алгоритм для взлома ключа, необходимого для восстановления MFT и лечения от инфекции Petya.
Компьютерные эксперты популярного форума поддержки BleepingComputer.com подтвердили, что метод работает, но требует извлечения некоторых данных из зараженного жесткого диска: 512 байт, начиная с сектора 55 (0x37h) со смещением 0 и 8 байт с сектора 54 (0x36) со смещением 33 (0x21).
Если это звучит слишком сложно, не стоит беспокоиться: Фабиан Уосар из компании Emsisoft создал простой и бесплатный инструмент, который может сделать это за вас. Однако, так как зараженный компьютер больше не может загрузиться в Windows, нужно вытащить пораженный жесткий диск и подключить его к другому компьютеру, на котором можно запустить инструмент. Можно использовать внешнюю USB док-станцию для жесткого диска.
Данные, извлеченные с помощью инструмента, нужно ввести в веб-приложение, созданное leostone, которое взломает ключ. Затем пользователь должен поместить пострадавший жесткий диск обратно в исходный компьютер, загрузиться с него, и ввести ключ.
«После того, как жесткий диск будет расшифрован, программа-вымогатель предложит вам перезагрузить компьютер, и он должен нормально загрузиться», написал основатель BleepingComputer.com Лоуренс Абрамс в блоге.