Kommer Petya Ransomware Crack ta tillbaka dina filer?

Kommer Petya Ransomware Crack ta tillbaka dina filer? / säkerhet

Ransomware är på uppgång. Cyberkriminella har upptaget insatserna bortom datorn: 5 sätt Ransomware kommer att ta dig fängslande framöver din dator: 5 sätt Ransomware kommer att ta dig fängslande i framtiden Ransomware är förmodligen den nästiest malware där ute och de brottslingar som använder det blir mer avancerad, här är fem oroande saker som snart kan tas i gisslan, inklusive smarta hem och smarta bilar. Läs mer i striden för dina uppgifter, introducera swathes av avancerad malware som är utformad för att kryptera dina personuppgifter. Deras slutliga mål är att utpressa pengar från dig. Om dina krav inte är uppfyllda kommer dina krypterade filer att vara oåtkomliga.

Inte tillgänglig. Förlorat.

Anfall på enskilda personer är inte banbrytande. De skar inte heller rubrikerna. Men 2015 såg FBI att få knappt 2 500 klagomål som direkt hänför sig till ransomware-relaterade attacker och uppgår till cirka 24 miljoner dollar i förluster för offer.

För drygt två veckor sedan, en ny ransomware-variant, Petya, uppstått. Men så snart säkerhetsforskare hade börjat administrera varningar om ransomwareens förmåga och specifika sätt att attackera, skadade en irriterad person Petya-krypteringen. Det betyder att tusentals potentiella offer kan säkert dekryptera sina filer, vilket sparar tid, pengar och frustrationsberget.

Varför Petya är annorlunda

Ransomware infektioner följer vanligtvis en linjär väg Vad är en Bootkit, och är Nemesis en äkta hot? Vad är en Bootkit, och är Nemesis en äkta hot? Hackers fortsätter att hitta sätt att störa ditt system, till exempel bootkit. Låt oss titta på vad en bootkit är, hur Nemesis-varianten fungerar och överväga vad du kan göra för att hålla dig klar. Läs mer . När ett system har äventyras, skannar ransomware hela datorn. Får inte fälla av svindlarna: En guide till Ransomware och andra hot faller inte fel mot svindlarna: En guide till Ransomware och andra hot Läs mer och börja kryptering bearbeta. Beroende på ransomware-varianten Undvik fallande offer för dessa tre Ransomware-bluffar Undvik fallande offer för dessa tre Ransomware-bluffar Flera framstående ransomware-bluffar är i omlopp just nu. låt oss gå över tre av de mest förödande, så du kan känna igen dem. Läs mer, nätverksplatser kan också krypteras. När krypteringsprocessen är klar ger ransomware ett meddelande till användaren som informerar dem om deras alternativ: betala eller förlora betalar inte - hur man slår Ransomware! Betala inte upp - Hur man slår Ransomware! Tänk dig om någon dykt upp på din tröskel och sa: "Hej, det finns möss i ditt hus som du inte visste om. Ge oss 100 dollar och vi kommer bli av med dem." Detta är Ransomware ... Läs mer .

Nyliga variationer i ransomware har visat att personliga användarfiler ignoreras, och väljer istället att kryptera MFP-filerna (Master File Table) i C: -drevet, vilket gör att en dator är värdelös.

Master File Table

Petya har distribuerats i stor utsträckning genom en skadlig e-postkampanj.

“Offren skulle få ett email skräddarsytt för att se och läsa som ett företagsrelaterat missiv från en “sökande” söker en position i ett företag. Det skulle förse användare med en hyperlänk till en Dropbox-lagringsplats, vilket förmodligen skulle låta användaren ladda ner sökandens curriculum vitae (CV).”

När Petya har installerats, börjar den ersätta Master Boot Record (MBR). MBR är den information som lagras i den första sektorn på hårddisken, innehållande koden som lokaliserar den aktiva primära partitionen. Överskrivningsprocessen förhindrar att Windows laddas normalt och förhindrar tillgång till Säkert läge.

När Petya har skrivit över MBR, krypterar den MFT, en fil som finns på NTFS-partitioner som innehåller kritisk information om alla andra filer på enheten. Petya tvingar sedan ett system omstart. Vid omstart möter användaren en falsk CHKDSK-sökning. Medan skanningen verkar vara säker på volymintegritet är motsatsen sant. När CHKDSK fullbordas och Windows försöker ladda, visar den modifierade MBR en ASCII-skalle med ett ultimatum för att betala ett lösenum, vanligtvis i Bitcoin.

Återvinningspriset står på ungefär $ 385, fast det kan förändras baserat på Bitcoin-växelkursen. Om användaren bestämmer sig för att ignorera varningen dubblerar Bitcoin lösenordningen. Om användaren fortsätter att motstå utpressningsförsöket, kommer Petya ransomware författaren radera krypteringsnyckeln.

Hack-Petya Mission

Där ransomware designers är vanligtvis extremt försiktiga i sitt val av kryptering, Petyas författare “glidde upp.” En oidentifierad programmerare fann ut hur man kan krossa Petyas kryptering efter en “Påskbesök till min svärfar fick mig [honom] i denna röra.”

Spåret kan avslöja krypteringsnyckeln som behövs för att låsa upp den krypterade huvudstartschriften, och frigöra de fångade systemfilerna. För att återfå kontrollen över filerna måste användarna först ta bort den infekterade hårddisken från datorn och fästa den på en annan arbetsdator. De kan sedan extrahera ett antal datasträngar för att komma in i verktyget.

Att extrahera data är svårt, vilket kräver specialverktyg och kunskap. Lyckligtvis skapade Emsisoft-anställd Fabian Wosar ett specialverktyg för att lindra detta problem “den verkliga dekrypteringen är användarvänligare.” Du hittar Petya Sector Extractor här. Ladda ner och spara det till skrivbordet på datorn som används för åtgärden.

Kunde "journalister" snälla börja göra sina läxor? Jag är inte ansvarig för att Petya är dekrypterbar. Kredit @leo_and_stone.

- Fabian Wosar (@fwosar) 15 april 2016

Wosars verktyg extraherar de 512-byte som krävs för Petya-sprickan, “startar vid sektor 55 (0x37h) med en förskjutning av 0 och 8 byte nonce från sektor 54 (0x36) förskjutning: 33 (0x21).” När data har tagits ut konverteras verktyget till nödvändig Base64-kodning. Den kan sedan skrivas in på petya-no-pay-ransom webbplatsen.

Jag tillhandahöll bara ett litet 50-linjers verktyg som gör den verkliga dekrypteringen mer användarvänlig.

- Fabian Wosar (@fwosar) 15 april 2016

När du har skapat dekrypteringslösenordet skriver du det nedåt. Du behöver nu byta ut hårddisken och starta det infekterade systemet. När skärmen Petya lås visas kan du ange din dekrypteringsnyckel.

En detaljerad handledning om extrahering av data strängar, inmatning av konverterade data till webbplatsen och generering av dekrypteringslösenordet finns här.

Dekryptering för alla?

Kombinationen av Leo-Stones krypteringskryp och Fabian Wosars Petya Sector Extractor gör det möjligt att läsa. Vem som helst med den tekniska kunskapen att söka en lösning för sina krypterade filer kan vara med en stridschans att återfå kontrollen över deras data.

Nu har lösningen förenklats, de användare som inte har tillgång till teknisk kunskap kan på ett effektivt sätt ta sitt infekterade system till en lokal verkstad och informera teknikerna om vad som behövs eller åtminstone vad de tror behöver göra.

Men även som vägen till fixering detta särskild ransomware-variant har blivit så mycket enklare, ransomware är fortfarande ett massivt och ständigt utvecklande problem som står inför vart och ett av oss. Ransomware håller på att växa - Hur kan du skydda dig själv? Ransomware håller växande - hur kan du skydda dig själv? Läs mer . Och trots att den här vägen är lättare att hitta och lättare att följa, vet ransomware-författarna att det finns en stor majoritet av användare som helt enkelt inte har något hopp om att dekryptera filerna, deras enda chans att återhämta sig genom kall, hård, oåtkomlig Bitcoin.

Trots deras första kodning felsteg, Jag är säker på att Petya ransomware författarna inte sitter och känner synd för sig själva. Nu när denna sprick- och dekrypteringsmetod ökar dragkraft, arbetar de med att uppdatera sin kod för att inaktivera lösningen, stänga dörren om dataåterställning igen.

Har du varit ett ransomware offer? Klarade du att återställa dina filer, eller betalade du lösenbeloppet? Låt oss veta nedan!

Utforska mer om: Ransomware.