👌🏼 💂 🍲 لن تتسلم Petya crypto ransomware المال: نقوم بإنشاء مفتاح فتح القرص الصلب بأنفسنا 🙏🏽 🥈 👌🏽

في 3 أبريل ، ظهرت معلومات حول اكتشاف برنامج فدية تشفير جديد لا يقوم بتشفير الملفات الفردية ، ولكن قسم القرص بأكمله (وحدة التخزين) ظهر على Habrahabr. يسمى البرنامج بتيا ، والغرض منه هو جدول تخصيص ملفات NTFS. تعمل Ransomware على قرص منخفض ، مع فقدان كامل لوصول المستخدم إلى ملفات وحدة التخزين.

كما اكتشف بيتيا مخطط إخفاء خاص لإخفاء النشاط. في البداية ، تطلب برامج الفدية المشفرة من المستخدم تنشيط UAC ، متنكرًا في هيئة تطبيقات قانونية. بمجرد الحصول على الامتيازات الموسعة ، تصبح البرامج الضارة نافذة المفعول. بمجرد تشفير وحدة التخزين ، يبدأ برنامج التشفير ransomware في طلب أموال من المستخدم ، ويتم منح فترة زمنية معينة لدفع "الفدية". إذا لم يدفع المستخدم الأموال خلال هذا الوقت ، فسيتم مضاعفة المبلغ. "مجال المعجزات" والمزيد.

لكن برنامج التشفير نفسه لم يكن محميًا بشكل جيد. قام مستخدم Twitter الذي يحمل لقب leostone بتطوير مولد مفتاح لـ Petya ، والذي يسمح لك بإزالة تشفير القرص. المفتاح فردي ، ويستغرق التحديد حوالي 7 ثوانٍ.

قام نفس المستخدم بإنشاء موقع يقوم بإنشاء مفاتيح للمستخدمين الذين تأثرت أجهزة الكمبيوتر الخاصة بهم بـ Petya. للحصول على المفتاح ، تحتاج إلى توفير معلومات من القرص المصاب.

ماذا تفعل؟

يجب إدخال الوسائط المصابة في جهاز كمبيوتر آخر ويجب استخراج بيانات معينة من قطاعات معينة من القرص الصلب المصاب. يجب بعد ذلك تشغيل هذه البيانات من خلال وحدة فك ترميز Base64 وإرسالها إلى الموقع للمعالجة.

بالطبع ، هذه ليست الطريقة الأسهل ، ويمكن للعديد من المستخدمين أن يكون مستحيلًا على الإطلاق. لكن هناك طريق قام مستخدم آخر ، فابيان ووسار ، بإنشاء أداة خاصة تقوم بكل شيء بمفردها. لكي يعمل ، تحتاج إلى إعادة ترتيب القرص المصاب إلى جهاز كمبيوتر آخر يعمل بنظام التشغيل Windows. بمجرد القيام بذلك ، قم بتنزيل Petya Sector Extractor وحفظها على سطح المكتب. ثم قم بتشغيل PetyaExtractor.exe. يقوم هذا البرنامج بمسح جميع محركات الأقراص بحثًا عن Petya. بمجرد اكتشاف القرص المصاب ، يبدأ البرنامج المرحلة الثانية من العمل.

يجب تحميل المعلومات المستخرجة إلى الموقع الموضح أعلاه. سيكون هناك حقلين نصيين بعنوان Base64 ترميز بيانات التحقق 512 بايت و Base64 ترميز 8 بايت غير. من أجل الحصول على المفتاح ، تحتاج إلى إدخال البيانات المستخرجة بواسطة البرنامج في هذين الحقلين.

للقيام بذلك ، في البرنامج ، انقر فوق الزر "نسخ قطاع" ، والصق البيانات المنسوخة في المخزن المؤقت في حقل موقع Base64 الذي تم ترميز بيانات التحقق 512 بايت.

بعد ذلك ، في البرنامج ، حدد الزر "نسخ Nonce" ، والصق البيانات المنسوخة في Base64 المشفرة 8 بايت غير على الموقع.

إذا تم كل شيء بشكل صحيح ، يجب أن تظهر هذه النافذة:

للحصول على كلمة مرور فك التشفير ، انقر فوق الزر إرسال. سيتم إنشاء كلمة مرور لمدة دقيقة تقريبًا.

نكتب كلمة المرور ونعيد توصيل القرص المصاب. بمجرد ظهور نافذة الفيروس ، أدخل كلمة المرور الخاصة بك.

يبدأ Petya في فك تشفير وحدة التخزين ، ويبدأ كل شيء في العمل عند اكتمال العملية.

لن تتسلم Petya crypto ransomware المال: نقوم بإنشاء مفتاح فتح القرص الصلب بأنفسنا

More articles: