Ваши файлы зашифрованы-2. Теперь все. - Мои статьи - Каталог статей

Пятница, 04.07.2025, 14:23

Приветствую Вас Гость | RSS

89171133674 СамараКомп ©

Меню сайта

Категории раздела

Мои статьи [84]

Мини-чат

Главная » Статьи » Мои статьи

Ваши файлы зашифрованы-2. Теперь все.

Ваши файлы зашифрованы-2. Теперь все.
Новый шифровальщик работает не по типу и расширению (Все ваши файлы зашифрованы), он шифрует всю файловую систему.
Но в этой, практически безвыходной ситуации неожиданно нашелся выход.
Криптовымогатель носит название Petya, но на него нашелся свой Vasya, поэтому Petya денег не получит.

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том).

Программа получила название Petya, а ее целью является таблица размещения файлов NTFS.
Программа работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности.
Изначально криптовымогатель запрашивает у пользователя активацию, маскируясь под легальные приложения.
Как только расширенные привилегии получены, зловредное ПО начинает действовать.
Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок.
Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.

Генерируем ключ разлочки жесткого диска сами.

Криптовымогатель оказался сам по себе не слишком хорошо защищен.
Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.
Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya.
Для получения ключа нужно предоставить специальную информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска.
Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым.
Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно.
Для его работы нужно переставить зараженный диск в другой ПК с Windows OS.
Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe.
Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.
Полностью на ГикТаймс

Как избежать заражения - здесь и здесь.

Категория: Мои статьи | Добавил: feosvv (01.06.2016)

Просмотров: 461 | Теги: Заражение, шифровальщик, файлы зашифрованы, вирусы, криптовымогатель | Рейтинг: 5.0/1

Всего комментариев: 0

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Форма входа

Партнеры

Друзья

Самара ремонт ноутбуков

Удалить баннер

Лучшие сайты Рунета