勒索软件正在上升。网络犯罪分子增加了争夺您数据的风险,引入了一系列旨在加密您的个人数据的高级恶意软件。他们的最终目标是勒索您的钱。除非满足他们的要求,否则您的加密文件将无法访问。
不可用。迷失了。
对个人的攻击并不是突破性的。他们也不是头条新闻。但是在2015年,FBI收到了将近2500个与勒索软件相关的攻击直接相关的投诉,给受害者造成了大约2400万美元的损失。
就在两周前,一个新的勒索软件变体 Petya 。但是,就在安全研究人员开始对勒索软件的功能和特定攻击方式进行警告时,一个受激的人破解了Petya加密。这意味着成千上万的潜在受害者可以安全地解密其文件,从而节省时间,金钱和麻烦。
为什么Petya与众不同
勒索软件感染通常遵循线性路径。
勒索软件的最新变种已经使个人用户文件被忽略,而是选择对C:驱动器的主文件表(MFT)进行加密,从而有效地使计算机无用。
Petya已经
“受害者将收到一封电子邮件,这些电子邮件是为寻求在公司中担任职务的“申请人"设计的,其外观和读物类似于与业务相关的邮件。它将为用户提供一个指向Dropbox存储位置的超链接,据称该超链接将允许用户下载该申请人的履历(CV)。"
一旦安装,Petya便开始替换主启动记录(MBR)。 MBR是存储在硬盘第一扇区中的信息,其中包含用于定位活动主分区的代码。覆盖过程会阻止Windows正常加载,并阻止访问安全模式。
一旦Petya覆盖了MBR,它将对MFT进行加密,该MFT是在NTFS分区上找到的包含彼此相关重要信息的文件。文件放在驱动器上。然后Petya强制系统重新启动。重新启动后,用户会遇到伪造的CHKDSK扫描。尽管扫描似乎可以确保卷的完整性,但事实恰恰相反。当CHKDSK完成并且Windows尝试加载时,修改后的MBR将显示带有最后通to的赎金的ASCII头骨,通常以比特币支付。
恢复价格大约为385美元,尽管可以根据以下情况进行更改比特币汇率。如果用户决定忽略该警告,则比特币赎金将增加一倍。如果用户继续抵抗勒索尝试,则Petya勒索软件作者将删除该加密密钥。解锁加密的主启动记录,释放系统文件。要重新控制文件,用户首先必须从计算机中删除受感染的硬盘驱动器,然后将其连接到另一台正常工作的计算机。然后,他们可以提取大量数据字符串以输入该工具。
提取数据非常困难,这需要专业的工具和知识。幸运的是,Emsisoft员工Fabian Wosar创建了一个特殊的工具来缓解此问题,使“实际解密更加用户友好"。您可以在此处找到Petya Sector Extractor。将其下载并保存到用于修复的计算机的桌面上。
— Fabian Wosar(@fwosar)2016年4月15日
Wosar的工具提取了所需的512字节Petya裂纹,“从偏移量为0的扇区55(0x37h)开始,与扇区54(0x36)的偏移量为8个字节的随机数:33(0x21)。"提取数据后,该工具会将其转换为必要的Base64编码。然后可以将其输入到petya-no-pay-ransom网站。
-Fabian Wosar(@fwosar),2016年4月15日
生成解密密码后,请写它下来。现在,您需要更换硬盘驱动器,然后启动受感染的系统。当出现Petya锁定屏幕时,您可以输入解密密钥。
有关数据字符串提取,将转换后的数据输入网站并生成解密密码的详细教程,可以在此处找到。
为所有人解密吗?
狮子石的加密破解和Fabian Wosar的Petya Sector Extractor的结合使阅读愉快。任何具有技术知识的人都希望为其加密文件寻求解决方案,这可能是重新获得对其数据的控制的机会。
现在,该解决方案已经简化,那些没有大量技术知识的用户可以可行地将其受感染的系统带到当地的维修店,并告知技术人员需要做什么,或者至少告诉他们他们认为需要做什么。
但是,即使是解决此问题的途径, >特定的勒索软件变种变得非常容易,勒索软件仍然是我们每个人面临的一个巨大且不断发展的问题。而且,尽管这种途径更容易找到和遵循,但勒索软件作者知道,绝大多数用户根本没有希望解密文件,这是他们通过冷,硬,不可追踪的比特币恢复的唯一机会。
尽管他们最初使用的是 faux pas 编码,但我确信Petya勒索软件的作者并没有坐在那里,为自己感到难过。现在,这种破解和解密方法越来越受欢迎,他们很可能正在努力更新其代码以禁用该解决方案,从而再次关闭了数据恢复的大门。
标签:
