BG-HALF-LIFE

BG-HALF-LIFE

Българският Half Life портал
 
PortalPortal  ИндексИндекс  Въпроси/ОтговориВъпроси/Отговори  Регистрирайте сеРегистрирайте се  ВходВход  
*BG-SMURFA-VRATSA* ви пожелава приятна игра в сървърите ни :)
BG-SMURFA-VRATSA-Bat-Man Vs Iron-Man
Визита от други Държави
Flag Counter
Вече може да ни откриете и във социалните мрежи.

Share| .

Ето как сами можем да генерираме декриптиращия ключ за рансъмуера Petya

Предишната тема Следващата тема Go down
АвторСъобщение
smurfa_vr
HL-BG Community
HL-BG Community
avatar


Брой мнения : 6772
Дата на регистрация : 31.03.2011
Местожителство : Враца

ПисанеЗаглавие: Ето как сами можем да генерираме декриптиращия ключ за рансъмуера Petya Сря 28 Юни 2017, 12:55

[You must be registered and logged in to see this image.]

През април се появи информация за нов рансъмуер, който криптира не отделните файлове, а целия дисков дял. Вирусът получи името Petya и работи на ниско ниво с NTFS таблицата за разположение на файловете, а потребителите изцяло губят достъпа до дисковия дял и файловете в него.

Petya използва специален метод за скриване на своята активност. Рансъмуерът най-напред иска от потребителите активирането на UAC, като се представя за легално приложение. След като са получени по-високите права, вирусът започва да действа. След като дисковият дял е криптиран, рансъмуерът иска паричен откуп от потребителя и дава кратък срок за набавяне на парите. Ако откупът не бъде платен в указания срок, исканата сума се удвоява.

Оказа се, че самият рансъмуер не е много добре защитен. Потребител на Twitter с акаунт leostone създаде генератор на ключове за Petya, с които криптираните дискове могат да се декриптират. Ключът е индивидуален и се генерира за около 7 секунди.

Същият потребител създаде и уеб сайт, който генерира ключове за потребителите, компютрите на които са заключени от Petya.

Методика

Заразеният диск трябва да се извади и да се постави в друг компютър, а необходимите данни се прочитат от точно определени сектори на диска. Тези данни трябва да минат чрез Base64 декодер и да се изпратят в сайта за обработка.

Това не е много лесен начин и за много потребители може да се окаже невъзможен. Но изход има.

Друг потребител, Fabian Wosar, създаде своя програма, която върши повечето от изброените по-горе неща, самостоятелно. И тук се налага заразеният диск да се премести на друг компютър с работеща ОС Windows. След това трябва да се изтегли и стартира програмата Petya Sector Extractor, която сканира всички дискове в системата за наличието на Petya. Ако бъде открит заразен диск, програмата автоматично започва втория етап от своята работа.

[You must be registered and logged in to see this image.]

В крайна сметка се получава информация, която трябва да бъде качена в същия сайт. В сайта има две текстови полета с имена Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. За да се получи декриптиращия ключ е необходимо да се въведат данните, извлечени от програмата, в тези две полета.

Чрез бутона Copy Sector се копират данните за полето Base64 encoded 512 bytes verification data, а чрез бутона Copy Nonce – за полето Base64 encoded 8 bytes.

Ако всичко е правилно, ще видим следния програмен прозорец:

[You must be registered and logged in to see this image.]

За получаването на ключа трябва да кликнем върху Submit. Паролата се генерира за около една минута.

[You must be registered and logged in to see this image.]

Записваме някъде паролата, връщаме диска на мястото си и след като се появи прозореца на вируса, въвеждаме тази парола.

[You must be registered and logged in to see this image.]

Petya започва да декриптира дисковия дял и след приключването, всички програми и файлове се връщат по местата си.



/kaldata.com

__________________________________________________________________________
[You must be registered and logged in to see this image.]
[You must be registered and logged in to see this image.]
[You must be registered and logged in to see this image.]
Върнете се в началото Go down
http://smurfa.bulgarianforum.net https://www.facebook.com//smurfavratsa
Ето как сами можем да генерираме декриптиращия ключ за рансъмуера Petya
Предишната тема Следващата тема Върнете се в началото
Страница 1 от 1

Permissions in this forum:Не Можете да отговаряте на темите
BG-HALF-LIFE :: Интернет-