Kako hakovati ransomware Petya i vratiti fajlove bez plaćanja kriminalcima

Opisi virusa, 12.04.2016, 01:30 AM

Kako hakovati ransomware Petya i vratiti fajlove bez plaćanja kriminalcima

Ransomware Petya pojavio se prošlog meseca kada je privukao pažnju zbog toga što se njegov način rada veoma razlikuje od onoga što smo viđali kod drugih ransomwarea. Umesto da šifruje fajlove na računaru i objavi obaveštenje o otkupu, Petya restartuje računar, ali pre toga menja MBR hard diska i i šifruje ceo hard disk.

Računar je praktično “zaglavljen” u stadijumu pre bootovanja. Da bi korisnik mogao da pristupi svojim fajlovima, treba da plati otkup, posle čega će dobiti lozinku.

Međutim, zahvaljujući dvojici istraživača Leu Stounu i Fabijanu Vozaru, za žrtve ransomwarea Petya nije sve izgubljeno.

Ovaj prvi je na Twitteru objavio da je pokrenuo dva web sajta na kojima žrtve mogu dobiti lozinku za dešifrovanje.

Problem je što korisnici moraju da izvuku neke informacije sa hard diska, što je teško čak i za profesionalce. Ali taj problem nije nemoguće rešiti zahvaljujući alatu koji je napravio Fabijan Vozar, iz Emsisofta.

Prvo što treba uraditi je povezati inficirani hard disk sa drugim računarom. Taj računar mora da radi sa Windowsom da bi Vozarov alat radio. Alat, a reč je ustvari o programu nazvanom Petya Sector Extractor, skenira hard diskove tražeći ranosmware Petya i izvlači informacije potrebne za krekovanje ransomwarea.

Kada Petya Sector Extractor otkrije hard disk inficiran Petya ransomwareom, treba kliknuti na dugme “Copy Sector”. To će određeni deo hard diska kopirati u privremenu memoriju. Sada žrtva može da ode na jedan od dva pomenuta web sajta i da pritiskom na tastere Ctrl + V iskopira sektor hard diska u polje u kome piše “Base64 encoded 512 bytes verification data.”

Tada se treba vratiti na Petya Sector Extractor i kliknuti na drugo dugme na kome piše “Copy Nonce”. Zatim ponovo na web sajt i ponovo uneti informacije u manje polje ispod onog prvog na kome piše “Base64 encoded 8 bytes nonce”.

Kada su oba polja popunjena odgovarajućim podacima, treba kliknuti na “Submit” i čekati da algoritam završi posao.

Kada žrtva dobije lozinku za dešifrovanje, inficirani hard disk treba vratiti u računar iz koga je uzet i pokrenuti računar. Kada se pojavi crveni ekran sa obaveštenjem o infekciji i otkupu, treba unesti lozinku i pritisnuti taster Enter.

MBR hard diska će biti tako otključan, podaci dešifrovani i žrtva neće morati da plaća otkup.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje