加密勒索软件Petya将不会收到任何款项：我们自己生成硬盘解锁密钥

4月3日，有关发现新加密勒索软件的信息出现在Habrahabr上，该勒索软件不加密单个文件，而是加密整个磁盘分区（卷）。该程序称为Petya，其目的是NTFS文件分配表。勒索软件磁盘空间不足，完全失去了用户对卷文件的访问权限。

Petya还发现了一种特殊的掩盖方案来隐藏活动。最初，加密勒索软件要求用户激活UAC，伪装成合法应用程序。一旦获得扩展特权，恶意软件即会生效。一旦对卷进行了加密，加密勒索软件便开始向用户索要钱，并在一定时间范围内支付“赎金”。如果用户在此期间未支付资金，则金额将增加一倍。 “奇迹领域”等等。



但是加密勒索软件本身并未得到很好的保护。昵称leostone的 Twitter用户已经为Petya开发了密钥生成器，该密钥生成器使您可以删除磁盘加密。密钥是单个的，选择大约需要7秒钟。

该用户创建了一个站点，该站点为PC受Petya影响的用户生成密钥。要获取密钥，您需要提供受感染磁盘的信息。

我该怎么办？

被感染的媒体必须插入另一台PC，并且必须从被感染的硬盘驱动器的某些扇区中提取某些数据。然后，这些数据需要通过Base64解码器运行，并发送到站点进行处理。

当然，这不是最简单的方法，对于许多用户而言，这根本不可能。但是有办法。另一个用户Fabian Wosar创建了一个特殊的工具，可以自行执行所有操作。为了使其正常工作，您需要将受感染的磁盘重新排列到另一台Windows OS PC。完成此操作后，下载Petya Sector Extractor并保存到桌面。然后运行PetyaExtractor.exe。该软件扫描所有驱动器的Petya。一旦检测到受感染的磁盘，程序便开始第二阶段的工作。



提取的信息必须上传到上面指示的站点。将有两个文本字段，分别为Base64编码的512字节验证数据和Base64编码的8字节随机数。为了获取密钥，您需要将程序提取的数据输入这两个字段。

为此，请在程序中单击“复制扇区”按钮，然后将复制到缓冲区中的数据粘贴到编码为512字节验证数据的Base64站点字段中。

然后，在程序中，选择“ Copy Nonce”按钮，然后将复制的数据粘贴到站点上以Base64编码的8字节随机数。

如果正确完成所有操作，则将出现以下窗口：



要获取解密密码，请单击Submit按钮。密码将生成约一分钟。



我们记下密码，然后将受感染的磁盘重新连接回去。一旦出现病毒窗口，请输入密码。



Petya开始解密该卷，并且该过程完成后，所有内容开始工作。

Source: https://habr.com/ru/post/zh-CN392727/