Разработан инструмент, позволяющий восстанавливать файлы, зашифрованные вымогателем Petya


0-day yazvimostАнонимный исследователь Leostone опубликовал код, который позволяет восстановить файлы, зашифрованные вымогательским ПО под названием Petya.

Petya (G DATA) - вымогательское ПО, шифрующее полностью жесткий диск зараженного устройства. За восстановление доступа к данным операторы вредоносного ПО требуют выкуп в размере 0,9 биткойна ($381). Вредонос был выявлен в конце марта нынешнего года.

Эксперт взломал шифрование Petya, использовав для этих целей генетические алгоритмы. Наработки Leostone опубликовал на сайте GitHub. Также экспертом было создано два сайта для помощи пользователям, ставшим жертвами вредоноса.

Для генерации ключа с инфицированного жесткого диска необходимо извлечь определенную информацию. Однако это может представлять определенные проблемы, при этом не только для рядовых пользователей, но и для профессионалов.

Другой эксперт, из компании Emisoft, разработал инструмент под названием Petya Sector Extractor, позволяющий автоматизировать процесс извлечения информации с зашифрованного жесткого диска и генерации ключа для расшифровки данных. Вся процедура занимает около 7 секунд.

Для восстановления пострадавших файлов пользователю необходимо снять жесткий диск с компьютера, подключить его к другому ПК и извлечь определенные данные. После этого, необходимо загрузить, установить и запустить приложение Petya Sector Extractor, предназначенное для обнаружения инфицированных шифровальщиком областей. Затем, нажав на кнопку Copy Sector, пользователь переходит на сайт Leostone, где ему необходимо вставить данные (Ctrl + V) в поля ввода текста Base64 encoded 512 bytes verification data.

На следующем этапе нужно вернуться к приложению Восара, нажать на вторую кнопку Copy Nonce, скопировать информацию на сайт Leostone, вставив данные в поле ввода Base64 encoded 8 bytes nonce. Для генерирования ключа нужно нажать на кнопку Submit.


Обновлено (13.04.2016 19:55)