Наша взаимовыгодная связь https://banwar.org/
[Оновлене 28 червня 2017]
Зазвичай ми не радіємо з того, що десь є баги, але на цей раз зробимо виняток.
Справа в тому, що помилка або погано написаний код в троянця-здирників «Петя» дозволили одному з інтернет-користувачів створити інструмент, який може розшифрувати «з'їдені» Петром дані.
![[Оновлене 28 червня 2017] Зазвичай ми не радіємо з того, що десь є баги, але на цей раз зробимо виняток](/wp-content/uploads/2020/01/uk-ak-povernuti-fajli-zasifrovani-sifruvalnikom-petya-1.png)
Пару тижнів тому ми писали про виявлення «Петі» і про його пристрасть виводити з ладу жорсткі диски цілком. Тоді способу розшифрувати дані не було - хіба що заплатити творцям мерзенного «Петі» викуп. Тепер же користувач Twitter з ніком @Leostone виклав у Мережу свою розробку, яка дозволяє згенерувати ключ, і тим самим, як нам здається, заслужив подяку інтернет-спільноти.
Оскільки цей твіттер-аккаунт не виглядає дуже обжитим і взагалі здається трохи підозрілим, ми вирішили перевірити, чи дійсно «ліки» працює і чи не чекає жертв чергова неприємність. Цим зайнялася наша штатна команда дослідників.
Колеги підтвердили: інструмент працює. Але є пара складнощів. По-перше, @Leostone виклав свій дешифратор у вигляді веб-сторінки, що генерує ключі. Схоже, туди негайно кинулися тисячі жертв «Петі» і просто бездіяльно цікавляться, оскільки через високу навантаження сторінка зараз працює з перебоями.
По-друге, лікування - це не зовсім одну кнопку в програмі натиснути. Жертва повинна дістати свій жорсткий диск з ПК і вставити його в інший пристрій. Далі необхідно витягти деякі дані з певного сектора накопичувача і розшифрувати їх за допомогою дешифратора Base64 . Потім ці дані потрібно завантажити на сайт, щоб отримати жаданий ключ дешифрування для «Петі».
Як бачите, це досить складна процедура, яка до того ж вимагає певної комп'ютерної грамотності. Інший користувач «Твіттер», Фабіан Восар (Fabian Wosar), полегшив завдання, створивши спеціальну утиліту під назвою Petya Sector Extractor. Вам в будь-якому випадку доведеться дістати свій жорсткий диск і вставити його в інший ПК, але далі розробка Фабіана зробить майже все за вас. Для отримання ключа залишається хіба що ввести дані, отримані утилітою, в форму на веб-сторінці @Leostone.
Наші фахівці пояснили, що цей інструмент експлуатує уразливість в програмному коді троянця «Петя». І подібно до того, як компанії випускають патчі до дірявому ПО, скоро і кіберзлочинці зроблять нового, порозумнішала «Петю», в якому вразливість буде усунена і здолати якого буде набагато складніше.
Але поки нового Petya ще немає, а ліки від старого вже є. Якщо ви є жертвою цього троянця-здирника і не хочете платити злочинцям приблизно $ 480, ви можете скористатися інструментом, створеним @Leostone. Він знаходиться на цьому веб-сайті: https://petya-pay-no-ransom.herokuapp.com/ .
Утиліту Petya Sector Extractor можна скачати тут .
Щоб розшифрувати ваші файли, дотримуйтесь цих вказівок, запропонованим на блозі Bleeping Computer .
1. Запустіть програму PetyaExtractor.exe. Вона просканує всі диски на комп'ютері і знайде «Петю». Виявивши зловреда на якомусь з дисків, програма повідомить вам про це.
2. Відкрийте браузер і перейдіть на https://petya-pay-no-ransom.herokuapp.com або https://petya-pay-no-ransom-mirror1.herokuapp.com/ .
3. Знайдіть два текстових вікна, які назвалися Base64 encoded 512 bytes verification data і Base64 encoded 8 bytes nonce. Для генерації ключа вам потрібно заповнити обидва поля.
4. Щоб отримати дані для першого віконця, клікніть по кнопці CopySector в Petya Extractor. Щоб ввести дані в друге віконце, клікніть по кнопці Copy Nonce. Після заповнення потрібних полів можете згорнути програму.
5. Виберіть кнопку Submit на веб-сайті, створеному @Leostone, або на його дзеркалі. Процес генерації ключа може зайняти пару хвилин, але в кінці ви отримаєте заповітну комбінацію.
6. Запишіть ключ на папір або в телефон. Вставте жорсткий диск назад в свій комп'ютер, увімкніть його та введіть отримані символи в поле пароля «Петі». Троянець повинен прийняти комбінацію і почати розшифровку диска.
7. В кінці операції вимагач запропонує вам перевантажити комп'ютер в нормальний режим. Настійно рекомендуємо вам після закінчення процедури лікування перевірити свій комп'ютер на віруси за допомогою безкоштовної утиліти . Також не можемо не порадити придбати Kaspersky Internet Security , Яка в принципі не дозволяє троянцам-здирникам шифрувати дані.
Оновлення від 28 червня 2017
Якщо ви шукаєте інформацію про нову хвилю заражень шифрувальником Petya / NotPetya / ExPetr, то про нього у нас є окремий пост з порадами, як захиститися .
