3922

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатель, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.


У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.

Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.


Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.


Что нужно делать?


Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.


Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатель, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.


Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.


Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.


Если все сделано правильно, должно появиться вот такое окно: Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатель, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатель, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016

Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Криптовымогатель, Petya, Ransomware, Помогаем себе сами, Видео, Длиннопост, 2016
Petya начинает дешифровку тома, и все начинает работать по завершению процесса.


Взято с geektimes

UPD

Информация устарела

Найдены возможные дубликаты

+335
ALLO PETYA, ETO TI?
раскрыть ветку 23
+256
NET, ETO YOBA
Иллюстрация к комментарию
раскрыть ветку 20
+89

POZOVI MISCHU

раскрыть ветку 15
+30

DELIVER V SUBBOTA

раскрыть ветку 3
+5

о вы из англии

-9
Net, che Petya Poroshenko
ещё комментарий
+128
Эм, это про старую версию ребят
раскрыть ветку 3
+63
автор просто скопировал прошлогоднюю статью, едва ли он вообще понял из нее что-то кроме названия. Ставим и расходимся
раскрыть ветку 1
+13

@moderator, баян.

0
Я тут за порнуху переживаю, а вы про версии
+60

пиздец не представляю что будет если они васю запустят...

раскрыть ветку 29
+87
Валера, настало твое время!
+18
А если Володю...тогда вообще всем хана!
раскрыть ветку 23
+12
Главное, чтобы не Антона.
раскрыть ветку 18
+6

Не-а, хана всем, это когда вирус с отчеством - Vladimir Vladimirovich, Sergey Kuzhugetovich, и да, самый опасный и непредсказуемый, с изменением вектора и возможностью манёвра по рысканью и тангажу - Vladimir Wolfovich!

раскрыть ветку 2
0
Все будет хорошо
+4

Как-то раз спросили Petya, уважает ли он petting?

- Нет, - ответил он сурово. - Onanizm моя основа.

0

Будет хана Миркософту и всей идее Active Directory. По сути Google добился того, что у каждого работника в кармане есть смартфон, на рабочем месте терминал или планшет а все приложения являются веб-сервисами. Печатные машинки уже не нужны. Поэтому необходимость в AD и сети Микрософт отпадает, от них будут отказываться. Акции уже начали падать.

раскрыть ветку 1
0
Так они и заделали для этого облачную Винду.
0
Земля горит от мощности такой,

Вот так он бьет рукой, наш Вася...

+117

Статья про старую версию. Новый Петя вовсе не такой Вася, работает на базе дыры, через которую лезет WannaCry, и не факт что так легко разблокируется

Вот что шлют по корпоративной почте от одной антивирусной компании из 4 букв.


Добрый день!

Специалисты **** изучают новую эпидемию трояна-шифратора. По предварительным оценкам, вредоносная программа относится к семейству Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan.

**** предполагают, что для проникновения шифратора в корпоративную сеть используется SMB-эксплойт, подобный EternalBlue, который стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Предположительно, эпидемия началась с украинских компаний. В настоящее время от шифратора пострадали около 80 российских и украинских организаций финансового и энергетического сектора и других отраслей.

Продукты **** детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.


И действительно, на виртуальную машину с установленным свежим антивирусом **** подсадили заразу (пришла одному из обслуживаемых клиентов по электронке, первая волна вируса именно через электронку пошла), после чего антивирус её спокойно сожрал, без всяких визгов, и только потом отрапортовал об угрозе.

Пробовали скачивать файл и запускать, пробовали через онлайн-документ открыть, издевались по-всякому. Жрёт. :)

раскрыть ветку 17
+154
Антивирусные продукты ESET детектируют ее

не замазал >_<

раскрыть ветку 7
+10
Нафига замазывать?
раскрыть ветку 5
+1

Лоханулся, ага)

+14

сплошная реклама

+9

я своих запугал почтовыми рассылками с предупреждениями, так что они любые странные вложения бегут ко мне проверять.

ну и ясен хрен повышение прав, только через админа. а wsusik каждую неделю подсовывает им обновы, ненужные порты на шлюзе закрыты и все серваки также обновлены.


пока в багдаде все тихо, воннакрай пережили без экцессов и петю тоже нахуй пошлем))

раскрыть ветку 1
+1

мы тоже запугали, пару самых отважных высекли за заражение сети публично (хотя заражались только их машины) - теперь стали умнее, всё подозрительное шлют нам на проверку)))

+8
первая волна вируса именно через электронку пошла

мне на рабочую почту почти каждый день приходят письма с вложениями вида "срочно оплатите счет", "жду от вас документы для тендера", читаешь почту как минное поле разминируешь

+9

Прочитав эту простыню ещё больше убеждаюсь, что вирусы и антивирусы пишут одни и те же люди.

+17
Иллюстрация к комментарию
0

Хрен тебе. Лечить он стал под вечер вчерашнего дня. Когда все, что можно уже было зашифровано.

раскрыть ветку 1
0

Мы тестировали в районе 16:00 по МСК

-11

короче нашел вариант

bootrec /RebuildBcd

bootrec /fixMbr

bootrec /fixboot


у меня не шифрует

ещё комментарий
+48

Паста 2016 года, сайт пустой, что это говно вообще делает в горячем?

раскрыть ветку 2
+5
Хайпит
+3

Просто лето, оно пройдет и будет норм.

+13

@moderator, пост не имеет отношения к нынешнему "вымогателю" и таким образом вводит людей в заблуждение. Что он тут делает в июне 2017 и чем помогает?

Ведь найдутся те кто, будут пытаться этим бредом пользоваться.

Прошу поставить тег 2016 год

+26

От меня он точно ничего не получит. Мой комп дешевле стоит...

раскрыть ветку 3
+3

дело не в железе, а в инфе(

раскрыть ветку 2
0
В парнухе
раскрыть ветку 1
+159
Это Petya.

Petya блокирует компьютеры по всему миру и шифрует файлы.

Petya просит 300 биткоинов за разблокировку.

Petya пидор.

Не будь как Petya.
раскрыть ветку 23
+65
300 далларов на биткоин счет
+31

он требует 300 долларов в биткоинах по текущему курсу (около 2700 за 1) на Бит счет имхо некоторым компаниям проще заплатить ибо потери понесут больше так что ребятки обогатятся)

раскрыть ветку 17
+4
Ну да, сервер с бэкапами же дорого ставить)
раскрыть ветку 15
+4
Так по 300 за каждый комп
+88

300 биткоинов это 750 000 долларов. Ценные, должно быть, данные он шифрует.

раскрыть ветку 1
+1
Порнуху порнуху,аааааа .....
-37

петя норм чел, это юзвери лошары

раскрыть ветку 1
+17
Сейчас бы не знать, как работали последние вымогатели. Для заражения порой требуется просто выход в интернет (и электричество)
ещё комментарии
+20

Эх, ожидал концовку в этом стиле

Иллюстрация к комментарию
раскрыть ветку 1
+20
Ну на самом деле так и есть, т.к. инструкция годичной давности от старой версии вымогателя.
+6

Ну пздц, опять без работы оставили)

раскрыть ветку 6
+19
Пришел на работу...
Иллюстрация к комментарию
раскрыть ветку 4
+10
А у нас подсуетились. Ток хз как работать теперь)
Иллюстрация к комментарию
раскрыть ветку 3
+2

ты админом был и тебя уволили?)

+13

То есть? он шифрует только винду с отключенной UAC? ну или после подтверждения юзера?
Тогда админы башнефти и остальных ещё бОльшие упырки, чем мне казалось...

раскрыть ветку 5
+11

В новой версии шифровальщика судя по всему используется 0day уязвимость с обходом UAC. Сообщений об этом достаточно, где у машин напросто админ права были отключены и рядовой пользователь сам бы ничего не смог запустить. Есть версии, что был взломан один из серверов с "документооборотом" и вирус распространился через него, затаился и ждал своего часа

раскрыть ветку 3
+7

да-да

говорят через медок шурует

раскрыть ветку 2
0
Не слушайте идиотов, вирус атакует управляющие контроллеры доменов AD и разворачивается по домену с админскими правами. Практически никто не обладает достаточными правами, чтобы его остановить.
+3
@moderator,эта инфа никому не поможет, ибо устарела, можно ли сделать пометку в начале, заранее спасибо
+3
Красавцы . Кто в курсе на какие кошельки. Они просят бабло ? Хочу посмотреть их "бизнес успех"
раскрыть ветку 8
раскрыть ветку 7
+10
Выгодно, однако. Мб тоже попробовать такое написать... И назвать Василий Иванович, чтоб посолиднее
+1

нормально ему там бабосы капают... за последние 5 часов больше 7к(почти 8к) бакинских уже перевели!

ещё комментарии
0
А есть информация по поводу востановления данных после оплаты?
0
Спасибо
+11

Не выглядит безопасной идея устанавливать заражённый диск в другой компьютер.

раскрыть ветку 6
+18
Можно презерватив надеть
раскрыть ветку 3
+13
На голову
+2

Не бойся, людей он пока не шифрует.

+1

Шапочку из фольги.

0

Полностью безопасно. Естественно если не полный дебил с включённым autorun.

-1
Есть же горячее подключение харда
+2

Охохох...

В DOS был такой альтернативный fdisk ADM. В бут-сектор пароль писал.

Пару байт удалить было несложно  

+5

2017 год на дворе - вытащи диск, залезь на сайт... где нормальные инструменты, как раньше загрузился в дос и все сделал. Неужели так трудно загрузочный образ сделать, или туже тулзу для ubuntu live

раскрыть ветку 4
+4
а за что меня минусуют? прям у всех дома второй комп есть? а в убунту даже с телефона загрузиться можно
раскрыть ветку 3
+2
Вово, прям вот вся квартира во вторых пека
0

1 десктоп, 3 ноута, но ты чертовски прав - это какая-то срань. Грузанулся с livecd и вот тебе "другой комп".

-1
Несколько ПК актуально для школьников, живущих с родителями и сестрами/братьями. В молодой семье обычно хватает одного компьютера, я не говорю о людях, у кого их больше по профессии или увлечениям.
+5

Так, а как на линуксе его запустить?

раскрыть ветку 4
+2

WannaCry я запускал на виртуалке ради интереса, через wine можно попробовать. Пиво и рыба есть на вечер?

раскрыть ветку 3
+3
#linux-help

xxx: Народ! Подскажите какой-нить антивирус на debian?
yyy: Рабочих вирусов на линукс в данный момент нет. Нафиг тебе антивирус?
xxx: Это их раньше не было, я один нашел... и наконец-то пересобрал в работающем состоянии...
раскрыть ветку 1
+3

я безработный сейчас :(

так что да, есть :)

+1
Т.е. это нормально открывать приложения, типа runme, clickme...? Ну планктон!!!!!
раскрыть ветку 1
0
Один открыл - пострадали все
+1

вот во всех статьях речь идет про mbr, но я либо слепой и плохо смотрел, либо просто нету информации, что если система стоит на диске с gpt-разметкой? там ведь совсем другой метод загрузки.

+1

Если я правильно опознал иконку, то Petya Sector Extractor написан на Delphi.

+1

"Криптовымогатель Петя"- так мило звучит, вроде "насильник Сережка" или каннибал Васенька"

+1
Не самая умная мысль вставлять заражённый носитель в другой пк
+1
Следующий вирус будет называться Олег
0
Проще Пете заплатить....
0
Хорошо Петя делает, пускает блокировку.Пользователь твитера находит лазейку, не удивлюсь, что -то тот самый петя)
0

пост полное днище, а вот микрософтовский старый антивирь словил петюА

0

Мне вообще фиолетово, все данные на других разделах, диск "ц" терять не жалко. Но есть нюанс, каждую неделю, делается бэкап(встроенной утилитой винды), мб он и не надёжный. Как не странно, было, что хватал всякую вирусятину, аля мляру(лень чистить и удалять), китайскую хрЯнь, но откат помогал:) С Петей еще не связывался(надеюсь и не буду знакомится). Берегите данные отдельно и не скачивайте всякую хрень

0

У нас на  предприятии комп с ХРюiшкой загубил. Файлы не переименовал., но и не открываются больше.

0
Читаю я значит пост... Читаю... Ага... Читаю... Думаю "Вау.. как здорово, авось пригодится, почитаю это длиннопост до конца, полезно ведь, спасибо автору"
И в конце "Информация устарела"
Блжад!!! Это пока я читал этот сраный длиннопост инфа устарела???
0
Комментарий удален. Причина: повторяющийся комментарий или комментарий содержащий информацию рекламного характера.
0

Чем больше обновлений выпускает фырма мелкософт, тем чаще появляются новенько-старенькие вирусы. Прикольно :)

0
в пизду слишком сложно. секс винду поставил заново
0
а что, а вдруг
0
Вот а мне интересно, у всех проблема и появляется герой типа но тоже просит прислать ему часть данных с вашего диска и в обмен пришлет что-то ещё. Мне вот одному это кажется тоже странным? Почему бы не описать процедуру открыто, если такой добрый? Смущает меня эти волны ядерных-вирусов. Ощущение что нас ловят не на вирусы а на том как мы реагируем дальше. На волне паники и безрассудства заставляют делать необдуманные шаги. Это чую ещё цветочки. Скоро они попробуют отыграть вирус лечение от которого будет нести большую угрозу нежели сам вирус.
0
а ты год публикации на гиктаймсе не видел? пост чтобы срубить плюсы?
0
Я ебу...я уже миллион лет не ловил никаких локеров...хахахаха...
0
Месторождение ЮР-5 колом стоит
0

Чуваки, видео безопасное, смотреть можно?

раскрыть ветку 1
0

нужно предохраняться!

0
Время обновлять бэкапы. И пускай шифрируют что душе угодно.
раскрыть ветку 1
0

Не все так просто. Если вирус залезет через дыры на бэкапсервер то и бэкапам пизд*ец. Стандалон копии мало кто делает  из за большого объема данных.

0
Иллюстрация к комментарию
0

Volodya Petiy zapustil

0
а кроме почты как он распространялся ?
раскрыть ветку 1
-1

воздушно - капельным путём

0

Недавно у меня вроде мозилла запросила какое-то разрешения, вылезло виндовое окошко с иконкой щита, и там что-то разрешить предлагалось, и я кажется нажал да.. Надеюсь это был не вирус.

раскрыть ветку 2
+1
Проверься, а то мало ли
раскрыть ветку 1
+3

в КВД

0

Этот способ может быть актуален только для тех у кого петя зашифровал весь диск. Для тех у кого зашифрованы только документы это не покатит.

-1
Казалось бы причем тут телеграм
-1
Нихера не понял, но очень круто
-2
думаю самое время для стартапа по созданию почтовоно клиента с виртуальной паматью обособленной от софта клиента. очевидно что все дальнейшее распространение вмрусов будет идти по каналу "юзер лох" и за фуфлобаксы, они же биткоины, которые такими темпами пролоббируют к запрету как нехуй нахуй. не стоит с нефтяных компаний просить выкуп.
раскрыть ветку 1
+4
думаю самое время для стартапа по созданию почтовоно клиента с виртуальной паматью обособленной от софта клиента.

В windows виртуальная память каждого процесса отделена. Но мне кажется что вы говорите про песочницу, что как показала практика - не панацея)

-3
Жесть, а можно просто мак купить, не обязательно новый.
-4
Ага бля, вставить жесткий диск в другой комп, чтобы и второй комп тоже потом повис.
раскрыть ветку 1
0

Мне кажется, кто-то тупит. Данная вирусятина распространяется  онли на тот диск, где система, а на остальные - наплевать и то что ты вставишь карманом, аж ни*я не произойдёт, если ты не включишь режим далпа*па и не запустишь екзешник с вируснёй....

-9

Нет криптовалюты - нет проблем.

-10

Вирус-вымогатель Петя, поразивший "The Украину" выглядит так:

Иллюстрация к комментарию
-10
Петька лососнул тунца )
раскрыть ветку 1
+1

Его прошлая версия))) новая уже по другому работает

-12

Ну Порошенко... ну свинья...

ещё комментарии
Похожие посты
Похожие посты не найдены. Возможно, вас заинтересуют другие посты по тегам: