Reklama
Ransomware rośnie. Cyberprzestępcy podnieśli stawkę Poza komputerem: 5 sposobów, w jakie Ransomware zabierze Cię do niewoli w przyszłościRansomware jest prawdopodobnie najgorszym złośliwym oprogramowaniem, a przestępcy używający go stają się coraz bardziej zaawansowane, Oto pięć niepokojących rzeczy, które można wkrótce wziąć jako zakładników, w tym inteligentne domy i inteligentne samochody. Czytaj więcej w bitwie o twoje dane, wprowadzając pokrycia zaawansowanego złośliwego oprogramowania zaprojektowanego do szyfrowania twoich danych osobowych. Ich ostatecznym celem jest wyłudzenie od ciebie pieniędzy. Jeśli ich wymagania nie zostaną spełnione, zaszyfrowane pliki pozostaną poza zasięgiem.
Niedostępne. Stracony.
Ataki na jednostki nie są przełomowe. Nie zajmują też nagłówków. Ale w 2015 roku FBI otrzymało prawie 2500 skarg odnoszące się bezpośrednio do ataków związanych z oprogramowaniem ransomware, co stanowi około 24 mln USD strat dla ofiar.
Nieco ponad dwa tygodnie temu nowy wariant oprogramowania ransomware,
Petyawyłonił się. Jednak zaraz po tym, jak badacze bezpieczeństwa zaczęli podawać ostrzeżenia dotyczące możliwości ransomware i określone tryby ataku, zirytowana osoba złamała Petyę szyfrowanie. Oznacza to, że tysiące potencjalnych ofiar mogą bezpiecznie odszyfrować swoje pliki, oszczędzając czas, pieniądze i góry frustracji.Dlaczego Petya jest inna?
Ransomware infekcje zwykle przebiegają liniowo Co to jest bootkit i czy Nemesis jest prawdziwym zagrożeniem?Hakerzy nadal znajdują sposoby na zakłócenie działania systemu, takie jak bootkit. Spójrzmy, czym jest bootkit, jak działa wariant Nemesis i zastanówmy się, co możesz zrobić, aby pozostać czystym. Czytaj więcej . Po naruszeniu bezpieczeństwa systemu ransomware skanuje cały komputer Don't Fall Foul of the Scammers: przewodnik po oprogramowaniu ransomware i innych zagrożeniach Czytaj więcej i rozpoczyna proces szyfrowania. W zależności od wariantu ransomware Unikaj padania ofiarą tych trzech oszustw typu ransomwareW tej chwili krąży kilka znanych oszustw ransomware; przejrzyjmy trzy najbardziej niszczycielskie, abyś mógł je rozpoznać. Czytaj więcej , lokalizacje sieciowe mogą być również szyfrowane. Po zakończeniu procesu szyfrowania oprogramowanie ransomware wyświetla użytkownikowi wiadomość informującą o jego opcjach: zapłacić lub przegrać Don't Pay Up - How Beat Ransomware!Wyobraź sobie, że ktoś pojawił się u twojego progu i powiedział: „Hej, w twoim domu są myszy, o których nie wiedziałeś. Daj nam 100 USD, a my się ich pozbędziemy. ”To jest Ransomware ... Czytaj więcej .
Ostatnie odmiany oprogramowania ransomware spowodowały, że osobiste pliki użytkownika zostały zignorowane, zamiast tego zdecydowano się na szyfrowanie głównej tabeli plików (MFT) dysku C:, co skutecznie czyni komputer bezużytecznym.
Główna tabela plików
Petya została w dużej mierze rozpowszechniona złośliwa kampania e-mail.
„Ofiary otrzymałyby e-mail dostosowany do wyglądu i czytania jak wiadomość biznesowa od„ wnioskodawcy ”poszukującego pracy w firmie. Przedstawiałby użytkownikom hiperłącze do miejsca przechowywania Dropbox, co rzekomo pozwoliłoby użytkownikowi pobrać życiorys wnioskodawcy (CV). ”
Po zainstalowaniu program Petya zaczyna zastępować główny rekord rozruchowy (MBR). MBR to informacja przechowywana w pierwszym sektorze dysku twardego, zawierająca kod lokalizujący aktywną partycję podstawową. Proces zastępowania uniemożliwia normalne ładowanie systemu Windows, a także uniemożliwia dostęp do trybu awaryjnego.
Gdy Petya zastąpi MBR, szyfruje MFT, plik znaleziony na partycjach NTFS zawierający krytyczne informacje o każdym innym pliku na dysku. Petya następnie wymusza restart systemu. Podczas ponownego uruchamiania użytkownik napotyka fałszywy skan CHKDSK. Chociaż wydaje się, że skanowanie zapewnia integralność woluminu, jest odwrotnie. Gdy CHKDSK zakończy się i Windows spróbuje załadować, zmodyfikowany MBR wyświetli czaszkę ASCII z ultimatum, aby zapłacić okup, zwykle w Bitcoin.
Cena odzyskiwania wynosi około 385 USD, ale może się to zmienić w zależności od kursu wymiany Bitcoin. Jeśli użytkownik zdecyduje się zignorować ostrzeżenie, okup Bitcoin podwaja się. Jeśli użytkownik nadal opiera się próbie wymuszenia, autor ransomware Petya usunie klucz szyfrowania.
Misja Hack-Petya
Tam, gdzie projektanci oprogramowania ransomware zwykle bardzo ostrożnie wybierają szyfrowanie, autor Petyi „wpadł w poślizg”. Niezidentyfikowany programista wymyśliłem, jak złamać szyfrowanie Petyi po „Wielkanocna wizyta u mojego teścia wpędziła mnie [go] w ten bałagan”.
Pęknięcie może ujawnić klucz szyfrowania potrzebny do odblokowania zaszyfrowanego głównego rekordu rozruchowego, uwalniając przechwycone pliki systemowe. Aby odzyskać kontrolę nad plikami, użytkownicy muszą najpierw usunąć zainfekowany dysk twardy z komputera i dołączyć go do innego działającego komputera. Następnie mogą wyodrębnić szereg ciągów danych, aby wprowadzić je do narzędzia.
Wyodrębnianie danych jest trudne, wymaga specjalistycznych narzędzi i wiedzy. Na szczęście pracownik Emsisoft Fabian Wosar stworzył specjalne narzędzie, aby złagodzić ten problem, dzięki czemu „faktyczne odszyfrowanie jest bardziej przyjazne dla użytkownika”. Możesz znaleźć Petya Sector Extractor tutaj. Pobierz i zapisz go na pulpicie komputera używanego do poprawki.
Czy „dziennikarze” mogliby zacząć odrabiać lekcje? Nie jestem odpowiedzialny za możliwość odszyfrowania Petyi. Kredyt @leo_and_stone.
- Fabian Wosar (@fwosar) 15 kwietnia 2016 r
Narzędzie Wosar wyodrębnia 512 bajtów wymaganych dla Petyi pęknięcie, „Zaczynając od sektora 55 (0x37h) z przesunięciem 0 i 8 bajtów nonce z sektora 54 (0x36) przesunięcie: 33 (0x21). ” Po wyodrębnieniu danych narzędzie przekonwertuje je na niezbędną wartość Base64 kodowanie. Można go następnie wprowadzić do strona internetowa petya-no-pay-okup.
Udostępniłem jedynie małe narzędzie ~ 50 linii, które sprawia, że faktyczne odszyfrowanie jest bardziej przyjazne dla użytkownika.
- Fabian Wosar (@fwosar) 15 kwietnia 2016 r
Po wygenerowaniu hasła deszyfrowania zapisz je. Teraz musisz wymienić dysk twardy, a następnie uruchomić zainfekowany system. Kiedy pojawi się ekran blokady Petya, możesz wprowadzić klucz deszyfrujący.
Szczegółowy samouczek na temat wyciągania ciągów danych, wprowadzania przekonwertowanych danych na stronę internetową i generowania hasła deszyfrowania można znaleźć tutaj.
Deszyfrowanie dla wszystkich?
Połączenie pęknięcia szyfrującego Leo-Stone i ekstraktora sektorowego Petya Fabiana Wosara sprawia, że czytanie jest przyjemne. Każdy, kto ma wiedzę techniczną i szuka rozwiązania dla zaszyfrowanych plików, może mieć szansę na odzyskanie kontroli nad swoimi danymi.
Teraz rozwiązanie zostało uproszczone, użytkownicy bez ryz wiedzy technicznej mogliby to zrobić zainfekowany system do lokalnego warsztatu i poinformuj techników o tym, co należy zrobić, a przynajmniej o czym wierzą wymaga zrobienia.
Jednak nawet jako droga do naprawy to konkretny wariant oprogramowania ransomware stał się o wiele łatwiejszy, oprogramowanie ransomware wciąż jest ogromne, ciągle rozwijający się problem, przed którym stoi każdy z nas Ransomware stale rośnie - jak się chronić? Czytaj więcej . I pomimo tego, że ścieżka ta jest łatwiejsza do znalezienia i łatwiejsza do śledzenia, autorzy oprogramowania ransomware wiedzą, że jest to zdecydowana większość użytkownicy, którzy po prostu nie będą mieli nadziei na odszyfrowanie plików, ich jedyna szansa na odzyskanie przez zimne, trudne, niemożliwe do wykrycia Bitcoin
Pomimo ich początkowego kodowania gafa, Jestem pewien, że autorzy oprogramowania ransomware Petya nie siedzą wokół siebie i współczują sobie. Teraz, gdy ta metoda pękania i deszyfrowania zyskuje na popularności, prawdopodobnie pracują nad aktualizacją kodu w celu wyłączenia rozwiązania, zamykając ponownie drzwi do odzyskiwania danych.
Czy byłeś ofiarą oprogramowania ransomware? Czy udało Ci się odzyskać swoje pliki, czy zapłaciłeś okup? Daj nam znać poniżej!
Gavin jest starszym pisarzem dla MUO. Jest także redaktorem i menedżerem SEO dla siostrzanej strony MakeUseOf, Blocks Decoded. Ma licencjat z wyróżnieniem (z wyróżnieniem) z zakresu sztuki cyfrowej zdobyte na wzgórzach Devon, a także ponad dekadę doświadczenia zawodowego w pisaniu. Lubi dużo herbaty.