r   e   k   l   a   m   a
r   e   k   l   a   m   a

Petya ujarzmiona – możliwe odzyskanie danych z dysków bez płacenia okupu

Strona główna AktualnościBEZPIECZEŃSTWO

W ostatnim czasie informowaliśmy o nowym zagrożeniu typu ransomware o nazwie Petya. Jest ono szczególnie groźne ze względu na szyfrowanie całego dysku, jednak osoby, które stały się ofiarą szkodnika mogą już odetchnąć z ulgą.

Celem ataków za pomocą Petyi były przede wszystkim korporacje: plik o rozszerzenie EXE był dystrybuowany wśród pracowników pod przykrywką pliku zawierającego informacje o nowych kandydatach. Jak w zdecydowanej większości takich przypadków zawiódł zatem przede wszystkim czynnik ludzki – rozszerzenie pliku nie było w żaden sposób zamaskowane, co nie odwiodło użytkowników od jego wykonania.

Dalszy rozwój wypadków nie jest trudny do przewidzenia – Petya modyfikowała Master Boot Record a następnie blokowała dostęp do plików. Od tego momentu użytkownik widział na ekranie swojego komputera jedynie czaszkę i instrukcję dotyczące zapłaty okupu w bitcoinach o wartości ok. 600 złotych, który miał przywrócić sprawność urządzenia.

r   e   k   l   a   m   a

Pojawił się już jednak sposób na odzyskanie danych bez konieczności opłacania okupu. Pod pseudonimem Leo Stone opublikowano na GitHubie kod, który w kilka sekund jest w stanie wygenerować hasło. Trudno jednak stwierdzić, aby należało to zadań łatwych dla osób, które chciały obejrzeć czyjeś CV zapisane w postaci pliku wykonywalnego – chodzi o ekstrakcje 512 bajtów z określonego sektora dysku, a następnie zakodowanie go w Base64. I na to jednak znalazł się sposób

Aby zdobyć hasło najlepiej podłączyć zaszyfrowany dysk do innego komputera i skorzystać z opracowanego przez Fabiana Wosara z niemieckiego Emsisoft, PetyaExtractora, który automatyzuje cały proces i pozwoli na uzyskanie niezbędnej próbki danych. Uruchomić można go jednak tylko na Windowsie. Następnie na stworzonej przez Stone’a stronie internetowej można po wklejeniu kodu z Petya Extractora w kilka sekund wygenerować hasło.

Petya nie jest jedynym zagrożeniem typu ransomware, które w ostatnim czasie udało się odszyfrować. Dzięki pracy Michaela Gillespiego dane można już także odzyskać z dysków, na których znalazł się szkodnik JigSaw. Wystarczy w windowsowym Menedżerze Zadań zakończyć procesy firefox.exe i drpbx.exe, a następnie uruchomić narzędzie JigSawDecrypter.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.