Le crack Petya Ransomware ramènera-t-il vos fichiers?

Ransomware est à la hausse. Les cybercriminels ont augmenté les enjeux Au-delà de votre ordinateur: 5 façons dont Ransomware vous captivera dans le futur Au-delà de votre ordinateur: 5 façons dont Ransomware vous prendra en captivité dans le futur Ransomware est probablement le plus méchant des logiciels malveillants, et les criminels qui l'utilisent deviennent de plus en plus avancé, Voici cinq choses inquiétantes qui pourraient être prises en otage bientôt, y compris les maisons intelligentes et les voitures intelligentes. Lisez-en plus dans la bataille pour vos données, en introduisant des bandes de logiciels malveillants avancés conçues pour chiffrer vos données personnelles. Leur but ultime est de vous extorquer de l'argent. À moins que leurs demandes ne soient satisfaites, vos fichiers cryptés resteront hors de portée..

Indisponible. Perdu.

Les attaques contre des individus ne sont pas novatrices. Ils ne font pas non plus la une des journaux. Cependant, en 2015, le FBI a reçu un peu moins de 2 500 plaintes directement liées à des attaques liées à des ransomwares, représentant des pertes d'environ 24 millions de dollars pour les victimes..

Il y a un peu plus de deux semaines, une nouvelle variante du ransomware, Petya, émergé. Cependant, dès que les chercheurs en sécurité ont commencé à administrer des avertissements concernant les capacités du ransomware et ses modes d’attaque spécifiques, un individu irrité a craqué le cryptage Petya. Cela signifie que des milliers de victimes potentielles peuvent déchiffrer leurs fichiers en toute sécurité, économisant du temps, de l'argent et des montagnes de frustration.

Pourquoi Petya est différent

Les infections par Ransomware suivent généralement un chemin linéaire. Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Qu'est-ce qu'un bootkit et Nemesis est-il une menace réelle? Les pirates continuent de trouver des moyens de perturber votre système, tels que le bootkit. Examinons ce qu'est un bootkit, comment fonctionne la variante Nemesis et examinons ce que vous pouvez faire pour rester clair. Lire la suite . Une fois qu'un système est compromis, le ransomware analyse tout l'ordinateur. Ne tombez pas faute des fraudeurs: Un guide des ransomwares et des autres menaces Ne tombez pas faute des fraudeurs: Un guide des ransomwares et des menaces Lire plus et commence le cryptage processus. Selon la variante du ransomware, évitez de tomber victime de ces trois escroqueries de Ransomware. Passons en revue trois des plus dévastateurs afin que vous puissiez les reconnaître. En savoir plus, les emplacements réseau peuvent également être cryptés. Une fois le processus de cryptage terminé, le ransomware envoie un message à l'utilisateur pour l'informer de ses options: payer ou perdre Perte de salaire - Comment battre Ransomware! Ne payez pas - Comment battre Ransomware! Imaginez si quelqu'un se présente à votre porte et dit: "Hé, il y a des souris chez vous que vous ne saviez pas. Donnez-nous 100 $ et nous nous en débarrasserons." C'est le Ransomware… En savoir plus .

Des versions récentes de ransomware ont vu les fichiers utilisateur personnels ignorés, choisissant plutôt de chiffrer la table de fichiers maîtres (MFT) du lecteur C:, rendant ainsi un ordinateur inutile..

Table de fichier principal

Petya a été largement distribué via une campagne d'emails malveillants.

“Les victimes recevraient un courrier électronique sur mesure ressemblant à une missive liée à une entreprise “demandeur” cherche un poste dans une entreprise. Il présenterait aux utilisateurs un lien hypertexte vers un emplacement de stockage Dropbox, censé permettre à l'utilisateur de télécharger le curriculum vitae dudit candidat..”

Une fois installé, Petya commence à remplacer le Master Boot Record (MBR). Le MBR est l’information stockée dans le premier secteur du disque dur, contenant le code qui localise la partition principale active. Le processus d'écrasement empêche Windows de se charger normalement et empêche l'accès au mode sans échec..

Une fois que Petya a écrasé le MBR, il chiffre la MFT, un fichier présent sur des partitions NTFS contenant des informations critiques sur tous les autres fichiers du lecteur. Petya force alors un redémarrage du système. Lors du redémarrage, l’utilisateur rencontre un faux scan CHKDSK. Bien que l'analyse semble garantir l'intégrité du volume, l'inverse est vrai. Lorsque le CHKDSK est terminé et que Windows tente de se charger, le MBR modifié affichera un crâne ASCII avec un ultimatum pour payer une rançon, généralement en Bitcoin..

Le prix de récupération s'élève à environ 385 dollars, bien que cela puisse changer en fonction du taux de change du Bitcoin. Si l'utilisateur décide d'ignorer l'avertissement, la rançon Bitcoin double. Si l'utilisateur continue à résister à la tentative d'extorsion, l'auteur du ransomware Petya supprimera la clé de cryptage..

Hack-Petya Mission

Les concepteurs de ransomware sont généralement extrêmement prudents dans leur choix de cryptage, l'auteur de Petya “glissé.” Un programmeur non identifié a découvert comment déchiffrer le cryptage de Petya après une “La visite de Pâques à mon beau-père m'a mis dans le pétrin.”

La fissure est capable de révéler la clé de cryptage nécessaire pour déverrouiller l'enregistrement de démarrage principal crypté, en libérant les fichiers système captifs. Pour reprendre le contrôle des fichiers, les utilisateurs devront d'abord retirer le disque dur infecté de l'ordinateur et le connecter à un autre ordinateur en état de fonctionnement. Ils peuvent ensuite extraire un certain nombre de chaînes de données à entrer dans l'outil.

Extraction des données est difficile, nécessitant des outils spécialisés et des connaissances. Heureusement, Fabian Wosar, employé d’Emsisoft, a créé un outil spécial pour atténuer ce problème. “le décryptage plus convivial.” Vous pouvez trouver l'extracteur de secteur Petya ici. Téléchargez-le et enregistrez-le sur le bureau de l'ordinateur utilisé pour le correctif..

Les "journalistes" pourraient-ils commencer à faire leurs devoirs? Je ne suis pas responsable du déchiffrement de Petya. Crédit @leo_and_stone.

- Fabian Wosar (@fwosar) Le 15 avril 2016

L'outil Wosar extrait les 512 octets requis pour la fissure Petya, “commençant au secteur 55 (0x37h) avec un décalage de 0 et le nonce de 8 octets du secteur 54 (0x36): 33 (0x21).” Une fois les données extraites, l’outil les convertira au codage Base64 nécessaire. Il peut ensuite être entré sur le site Web petya-no-pay-ransom.

J'ai simplement fourni un petit outil de ~ 50 lignes qui rend le décryptage plus convivial.

- Fabian Wosar (@fwosar) Le 15 avril 2016

Une fois que vous avez généré le mot de passe de déchiffrement, notez-le. Vous devez maintenant remplacer le disque dur, puis démarrer le système infecté. Lorsque l'écran de verrouillage Petya apparaît, vous pouvez entrer votre clé de déchiffrement..

Vous trouverez un tutoriel détaillé sur l'extraction de chaînes de données, la saisie des données converties sur le site Web et la génération du mot de passe de déchiffrement..

Décryptage pour tout le monde?

La combinaison de la fêlure de cryptage de Leo-stone et de l'extracteur de secteur Petya de Fabian Wosar est une bonne lecture. Quiconque ayant les connaissances techniques pour rechercher une solution à leurs fichiers cryptés pourrait avoir une chance de reprendre le contrôle de ses données..

Maintenant que la solution a été simplifiée, les utilisateurs dépourvus de connaissances techniques pourraient éventuellement amener leur système infecté dans un atelier de réparation local et informer les techniciens de ce qui doit être fait, ou du moins de ce qu'ils pensent devoir faire..

Cependant, même si la voie à suivre pour réparer ce variante de ransomware particulière est devenue beaucoup plus facile, le ransomware est toujours un problème énorme et en constante évolution auquel chacun de nous est confronté. Ransomware continue de croître - Comment se protéger? Ransomware continue de croître - Comment vous protéger? Lire la suite . Et, bien que cette voie soit plus facile à trouver et plus facile à suivre, les auteurs du logiciel ransomware savent que la grande majorité des utilisateurs n'auront tout simplement aucun espoir de déchiffrer les fichiers, leur seule chance de récupération grâce à Bitcoin froid, dur et introuvable..

Malgré leur codage initial faux pas, Je suis sûr que les auteurs de ransomware Petya ne sont pas assis, ils se sentent désolés. Maintenant que cette méthode de crack et de déchiffrement gagne du terrain, ils travaillent probablement à la mise à jour de leur code pour désactiver la solution, fermant ainsi la porte à la récupération des données..

Avez-vous été victime d'un ransomware? Avez-vous réussi à récupérer vos fichiers ou avez-vous payé la rançon? Faites-nous savoir ci-dessous!

En savoir plus sur: Ransomware.