Изучение кодов, используемых вымогателем Petya, позволило создать инструмент для расшифровки жесткого диска, способный сгенерировать нужный ключ менее чем за 10 секунд.

В минувшую пятницу участник Twitter, использующий ник @leostone, опубликовал генетический алгоритм для генерации паролей и запустил сайт в помощь жертвам Petya. Для генерации ключа в созданный им инструмент нужно ввести информацию с зараженного диска. Поскольку для среднестатистического пользователя это может оказаться непростой задачей, эксперт Emisoft Фабиан Возар (Fabian Wosar) написал исполняемый код для извлечения данных с дисков, зараженных Petya.

Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer, также отслеживающий все события, связанные с Petya, составил и опубликовал руководство по использованию новых инструментов. По свидетельству эксперта, программа Возара сканирует диски на наличие буткода криптоблокера, автоматически производит выбор и предлагает пользователю опцию — скопировать и сектор диска, и ассоциированный с ним нонс-параметр.

Эту информацию, 512 байт данных верификации и 8-байтовый нонс, следует зашифровать по Base64 и ввести в форму на сайте, созданном @leostone. При этом жертве Petya придется лишь снять диск с зараженной машины и перенести его на ПК Windows или подключить через док-станцию USB, остальное довершит программа Возара. После получения пароля расшифровки диск следует вставить на прежнее место, включить компьютер и ввести пароль в окне, отображаемом зловредом.

ИБ-исследователи анализируют Petya, шифрующего главную загрузочную запись, с момента его появления в конце прошлого месяца. До настоящего времени единственным выходом для его жертв была уплата выкупа — примерно $400.

Об авторе спасительного алгоритма расшифровки известно немногое. В своей записи на GitHub @leostone пояснил, что ему поневоле пришлось заняться изучением Petya после того, как тот заразил компьютер его тестя.

Абрамс со своей стороны заявил Threatpost, что случаи успешного избавления от последствий запуска Petya ему неизвестны, однако после публикации алгоритма ему, как и некоторым другим ИБ-исследователям, удалось расшифровать MFT на тестовой машине, причем всего за семь секунд. Эксперт также подчеркнул, что, хотя новые инструменты для расшифровки — это, безусловно, большое благо, создатели Petya тоже могут воспользоваться этой подсказкой и усовершенствовать его криптокод.

«Думаю, этот вымогатель слишком прогрессивен, чтобы из-за такой помехи оставить его на обочине, — пишет Абрамс в своем комментарии. — Полагаю, создатели Petya залатают эту брешь и выпустят новую версию с более сильным шифрованием».

Категории: Вредоносные программы, Главное, Кибероборона