Создан инструмент для восстановления файлов, зашифрованных вымогателем Petya

image

Теги: вредоносное ПО, шифрование, данные, доступ

Вредоносное ПО полностью шифрует жесткий диск зараженного устройства.

Анонимный исследователь, известный в Сети как Leostone, опубликовал код, позволяющий восстановить файлы, зашифрованные вымогательским ПО под названием Petya. В конце марта вредонос был обнаружен исследователями из компании G DATA. В отличие от других вымогателей, шифрующих отдельные файлы, Petya полностью шифрует жесткий диск зараженного устройства. За восстановление доступа к данным операторы вредоносного ПО требуют выкуп в размере 0,9 биткойна ($381).

Эксперту удалось взломать шифрование Petya, использовав генетические алгоритмы. Свои наработки Leostone опубликовал на сайте GitHub. Также он создал два сайта для помощи пользователям, ставшим жертвами вредоноса. Генерация ключа требует извлечения определенной информации с инфицированного жесткого диска, однако это может представлять определенные проблемы не только для рядовых пользователей, но и для профессионалов. Эксперт компании Emisoft Фабиан Восар (Fabian Wosar) разработал инструмент под названием Petya Sector Extractor, автоматизирующий процесс извлечения информации с зашифрованного жесткого диска и генерации ключа для расшифровки данных. Вся процедура занимает порядка 7 секунд.

Для восстановления пострадавших файлов пользователю потребуется снять жесткий диск с компьютера, подключить его к другому ПК и извлечь определенные данные. Затем нужно загрузить, установить и запустить приложение Petya Sector Extractor, предназначенное для обнаружения инфицированных шифровальщиком областей. Далее нужно нажать на кнопку Copy Sector, перейти на сайт Leostone и вставить данные (Ctrl + V) в поля ввода текста Base64 encoded 512 bytes verification data. 

На следующем этапе нужно вернуться к приложению Восара, нажать на вторую кнопку Copy Nonce, а затем скопировать информацию на сайт Leostone, вставив данные в поле ввода Base64 encoded 8 bytes nonce. Для генерирования ключа нужно нажать на кнопку Submit.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.