Est-ce que la petya fissure ransomware restaurez vos fichiers?
Ransomware est à la hausse. Les cybercriminels ont fait monter les enjeux
Contenu
Indisponible. Perdu.
Les attaques contre les individus ne sont pas révolutionnaires. Ils ne sont pas monopolisant les gros titres. Mais 2015 a vu le FBI recevoir un peu moins de 2500 plaintes se rapportant directement aux attaques liées à ransomware, un montant de quelque 24 millions $ des pertes pour les victimes.
Il y a tout juste deux semaines, une nouvelle variante de ransomware, Petya, émergé. Cependant, dès que les chercheurs en sécurité ont commencé à administrer les avertissements concernant les capacités de ransomware et modes spécifiques d`attaque, un individu irrité craqué le cryptage Petya. Cela signifie que des milliers de victimes potentielles peuvent en toute sécurité décrypter leurs fichiers, un gain de temps, d`argent, et les montagnes de la frustration.
Pourquoi Petya est différent
ransomware infections suivent généralement une trajectoire linéaire. Une fois qu`un système est compromise, la ransomware scanne l`ordinateur entier et commence le processus de cryptage. Selon la variante ransomware, les emplacements de réseau peuvent également être cryptés. Une fois que le processus de cryptage est terminé, le ransomware délivre un message à l`utilisateur pour les informer à leurs options: payer ou perdre.Qu`est-ce qu`un Bootkit, et est-Nemesis une menace réelle?Qu`est-ce qu`un Bootkit, et est-Nemesis une menace réelle?Les pirates informatiques continuent de trouver des moyens de perturber votre système, comme le bootkit. Regardons ce qu`est un bootkit, comment la variante de Nemesis fonctionne, et examiner ce que vous pouvez faire pour rester clair.Lire la suite
Video: Petya ransomware testing in a VM
les variations récentes de ransomware ont vu les fichiers utilisateur personnels ignorés, le choix de la place pour chiffrer le Master File Table (MFT) du lecteur C:, ce qui rend efficacement un ordinateur inutile.
Master File Table
Petya a été largement distribué à travers une campagne e-mail malveillant.
« Les victimes recevront un e-mail sur mesure pour regarder et lire comme une missive liée à l`entreprise d`un « candidat » à la recherche d`un poste dans une entreprise. Il présenterait aux utilisateurs un lien hypertexte vers un Dropbox emplacement de stockage, ce qui aurait supposément laisser le télécharger utilisateur a dit le curriculum vitae du candidat (CV) « .
Une fois installé, Petya commence à remplacer le Master Boot Record (MBR). Le MBR est l`information stockée dans le premier secteur du disque dur, contenant le code qui localise la partition principale active. Le processus empêche Ecraser le chargement de Windows normalement, ainsi que d`empêcher l`accès au mode sans échec.
Une fois Petya a écrasé le MBR, il crypte le MFT, un fichier présent sur les partitions NTFS contenant des informations critiques sur tous les fichiers sur le disque. Petya force un redémarrage du système. Au redémarrage, l`utilisateur rencontre un balayage de CHKDSK faux. Bien que l`analyse semble assurer l`intégrité du volume, le contraire est vrai. Lorsque la CHKDSK complète et Windows tente de charger, le MBR modifié affiche un crâne ASCII avec un ultimatum à payer une rançon, habituellement en Bitcoin.
Prix de récupération se situe à environ 385 $, mais cela peut changer en fonction du taux de change Bitcoin. Si l`utilisateur décide d`ignorer l`avertissement, la rançon Bitcoin double. Si l`utilisateur continue de résister à la tentative d`extorsion de fonds, l`auteur ransomware Petya supprimera la clé de chiffrement.
Hack-Petya Mission
Où les concepteurs ransomware sont généralement extrêmement prudents dans leur choix de cryptage, l`auteur de Petya « glissé. » Un programmeur non identifié compris comment le crack de chiffrement de Petya après une « visite de Pâques à mon père-frère m`a [lui] dans ce pétrin « .
La fissure est capable de révéler la clé de cryptage nécessaire pour déverrouiller le démarrage maître crypté enregistrement, libérant les fichiers système captifs. Pour reprendre le contrôle des fichiers, les utilisateurs doivent d`abord retirer le disque dur de l`ordinateur infecté et l`attacher à un autre ordinateur de travail. Ils peuvent alors extraire un certain nombre de chaînes de données pour entrer dans l`outil.
Video: Petya Ransomware
Extraction des données est difficile, ce qui nécessite des outils et des connaissances spécialisées. Heureusement, l`employé Emsisoft Fabian Wosar a créé un outil spécial pour remédier à ce problème, ce qui rend « le décryptage réel plus convivial. » Vous trouverez le secteur Petya Extractor ici. Téléchargez et enregistrez-le sur le bureau de l`ordinateur utilisé pour le correctif.
L`outil de Wosar extrait les 512 octets nécessaires à la fissure Petya, « à partir du secteur 55 (0x37h) avec un décalage de 0, et le nonce de 8 octets du secteur 54 (0x36) décalée. 33 (0x21) » Une fois que les données sont extraites , l`outil permet de convertir à l`encodage base64 nécessaire. Il peut alors être entré dans le site petya-no pay-rançon.
Une fois que vous avez généré le mot de passe de déchiffrement, écrire. Vous aurez maintenant besoin de remplacer le disque dur, puis démarrer le système infecté. Lorsque l`écran de verrouillage Petya apparaît, vous pouvez entrer votre clé de déchiffrement.
Un tutoriel détaillé sur l`extraction de chaîne de données, la saisie des données converties dans le site, et générer le mot de passe de décryptage peut être trouvée ici.
Déchiffrage pour tout le monde?
La combinaison du secteur de fissure de chiffrement de leo-pierre et de Fabian Wosar Petya extracteur pour faire une bonne lecture. Toute personne ayant les connaissances techniques pour être à la recherche d`une solution pour leurs fichiers cryptés pourrait être une chance de combat de reprendre le contrôle de leurs données.
Maintenant, la solution a été simplifiée, les utilisateurs ne disposant pas de connaissances techniques ramettes pourraient réalistement prendre leur système infecté à un atelier de réparation et d`informer les techniciens de ce qu`il faut faire, ou du moins ce qu`ils croient doit être fait.
Cependant, comme la voie à la fixation ce notamment variante de ransomware est devenu beaucoup plus facile, ransomware est encore massif, toujours le développement de problème face à chacun d`entre nous. Et, en dépit de cette voie étant plus facile à trouver et plus facile à suivre, les auteurs ransomware savent qu`il ya une grande majorité des utilisateurs qui auront tout simplement aucun espoir de déchiffrer les fichiers, leur seule chance de récupération par le froid, dur, Bitcoin intraçable.Ransomware ne cesse de croître - Comment pouvez-vous protéger?Ransomware ne cesse de croître - Comment pouvez-vous protéger?Lire la suite
En dépit de leur codage initial faux pas, Je suis sûr que les auteurs Petya ransomware ne sont pas assis autour, se sentir désolé pour eux-mêmes. Maintenant que cette fissure et la méthode de déchiffrement gagnent du terrain, ils travaillent probablement à mettre à jour leur code pour désactiver la solution, la fermeture de la porte Les données récupération encore une fois.
Avez-vous été victime ransomware? Avez-vous réussi à récupérer vos fichiers, ou avez-vous payé la rançon? Faites-nous savoir ci-dessous!