Será que o ransomware rachadura petya trazer de volta seus arquivos?
Ransomware está em ascensão. Os cibercriminosos elevou as apostas
Conteúdo
Indisponível. Perdido.
Ataques a indivíduos não são inovador. Nem eles estão monopolizando as manchetes. Mas 2015 viu o FBI recebe pouco menos de 2.500 queixas relacionadas diretamente aos ataques relacionados ransomware, no valor de cerca de US $ 24 milhões em perdas para as vítimas.
Pouco mais de duas semanas atrás, uma nova variante ransomware, Petya, emergiu. No entanto, assim que os pesquisadores de segurança começaram a administrar advertências sobre as capacidades do ransomware e modos específicos de ataque, um indivíduo irritado rachado a criptografia Petya. Isso significa milhares de potenciais vítimas pode seguramente descriptografar seus arquivos, economizando tempo, dinheiro e montanhas de frustração.
Por Petya É diferente
ransomware infecções costumam seguir um caminho linear. Uma vez que um sistema seja comprometida, o ransomware varre o computador inteiro e começa o processo de encriptação. Dependendo da variante ransomware, locais de rede também podem ser criptografados. Uma vez que o processo de criptografia estiver completa, o ransomware entrega uma mensagem para o usuário informando-os quanto às suas opções: pagar, ou perder.O que é um Bootkit, e Nemesis é uma ameaça real?O que é um Bootkit, e Nemesis é uma ameaça real?Hackers continuam a encontrar formas de interromper o seu sistema, como o bootkit. Vejamos o que um bootkit é, como a variante Nemesis funciona, e considerar o que você pode fazer para ficar claro.consulte Mais informação
variações recentes na ransomware ter visto os arquivos do usuário pessoal ignorados, escolhendo a vez para criptografar a tabela de arquivos mestre (MFT) da unidade C:, tornando efetivamente um computador inútil.
Master File Table
Petya tem sido amplamente distribuído através de uma campanha de e-mail malicioso.
“As vítimas receberia um e-mail personalizado para olhar e ler como uma missiva relacionados com o negócio a partir de um‘requerente’procurando uma posição em uma empresa. Seria apresentar aos usuários um link para um Dropbox local de armazenamento, que supostamente deixaria o download do usuário disse curriculum vitae do candidato (CV) “.
Video: Petya ransomware testing in a VM
Uma vez instalado, Petya começa a substituir o Master Boot Record (MBR). O MBR é a informação armazenada no primeiro sector do disco rígido, contendo o código que localiza a partição activa primária. O processo de sobreposição impede que o Windows carregamento normalmente, bem como impedindo o acesso para o modo de segurança.
Uma vez Petya substituiu o MBR, ele criptografa o MFT, um arquivo encontrado em partições NTFS que contêm informações críticas sobre todos os outros arquivos na unidade. Petya então força a reinicialização do sistema. Na reinicialização, o usuário encontra uma varredura CHKDSK falso. Enquanto a digitalização parece estar garantindo a integridade do volume, o oposto é verdadeiro. Quando o CHKDSK completa e Windows tenta carregar, o MBR modificado irá exibir um crânio ASCII com um ultimato para pagar um resgate, geralmente em Bitcoin.
preço de recuperação é de cerca de US $ 385, embora isso pode mudar com base na taxa de câmbio Bitcoin. Se o usuário decide ignorar o aviso, o Bitcoin resgate dobra. Se o usuário continua a resistir à tentativa de extorsão, o ransomware autor Petya excluirá a chave de criptografia.
Hack-Petya Mission
Onde os designers ransomware são geralmente muito cuidado na sua escolha de criptografia, autor de Petya “escorregou.” Um programador não identificado descobriu como quebrar a criptografia de Petya depois de uma “visita de Páscoa para o meu pai-de-lei me [ele] meteu nesta confusão “.
Video: Ransomware Virus in action ! ! ! Virtual Box
O crack é capaz de revelar a chave de criptografia necessária para desbloquear o registro mestre de inicialização criptografada, liberando os arquivos de sistema cativos. Para recuperar o controle dos arquivos, os usuários tem que primeiro remover o disco rígido infectado do computador e anexá-lo para outro computador de trabalho. Eles podem então extrair uma série de cadeias de dados para entrar na ferramenta.
Extraindo os dados é difícil, exigindo ferramentas especializadas e conhecimentos. Felizmente, Emsisoft empregado Fabian Wosar criou uma ferramenta especial para aliviar este problema, fazendo com que “user a descriptografia real mais amigável.” Você pode encontrar o Sector Extractor Petya aqui. Faça o download e guardá-lo para a área de trabalho do computador a ser utilizado para a correção.
ferramenta de Wosar extrai os 512 bytes necessários para a fenda Petya “a partir de sector 55 (0x37h) com um deslocamento de 0 e o uso único de 8 bytes de sector 54 (0x36) offset:. 33 (0x21)” Uma vez que os dados são extraídos , a ferramenta irá convertê-lo para a codificação Base64 necessário. Ele pode então ser inserido no site do Petya-no-pay-resgate.
Depois de ter gerado a senha de decodificação, anotá-la. Você agora terá que substituir o disco rígido, em seguida, iniciar o sistema infectado. Quando a tela de bloqueio Petya parece que você pode entrar em sua chave de decodificação.
Video: Shade Ransomware Improved, RAT Features Added
Um tutorial detalhado sobre a extração cadeia de dados, inserindo os dados convertidos para o site, e gerar a senha de decodificação pode ser encontrada aqui.
Descriptografia para todos?
A combinação do crack criptografia de leo-pedra e Petya Sector Extractor de Fabian Wosar uma leitura feliz. Qualquer pessoa com o conhecimento técnico para ser encontrada uma solução para os seus arquivos criptografados pode ser com uma chance de recuperar o controle de seus dados.
Agora, a solução foi simplificado, esses usuários sem resmas de conhecimento técnico poderia viabilizar tomar o seu sistema infectado a uma oficina local e informar os técnicos do que precisa ser feito, ou pelo menos o que eles acreditam precisa ser feito.
No entanto, mesmo quando a via de fixação esta variante particular ransomware tornou-se muito mais fácil, ransomware ainda é um enorme, problema que enfrenta cada um de nós constante desenvolvimento. E, apesar desse caminho de ser mais fácil de encontrar e mais fácil de seguir, os autores ransomware sabe que há uma grande maioria de usuários que simplesmente não têm esperança de descriptografar os arquivos, sua única chance de recuperação através de frio, duro, Bitcoin indetectável.Ransomware continua crescendo - Como você pode se proteger?Ransomware continua crescendo - Como você pode se proteger?consulte Mais informação
Apesar de sua codificação inicial gafe, Tenho certeza que os autores ransomware Petya não estão sentados ao redor, sentindo pena de si mesmas. Agora que este crack e método de decodificação estão ganhando força que eles provavelmente estão trabalhando na atualização seu código para desativar a solução, fechando a porta sobre dados recuperação de novo.
Você foi a vítima ransomware? Conseguiu recuperar seus arquivos, ou você pagar o resgate? Deixe-nos saber abaixo!