12 апреля 2016

Как ошибка в коде помогла жертвам вымогателя «Петя» найти лекарство

Новости Советы

[Обновлено 28 июня 2017]

Обычно мы не радуемся тому, что где-то есть баги, но на этот раз сделаем исключение.

Дело в том, что ошибка или плохо написанный код в троянце-вымогателе «Петя» позволили одному из интернет-пользователей создать инструмент, который может расшифровать «съеденные» Петей данные.

Пару недель назад мы писали об обнаружении «Пети» и о его пристрастии выводить из строя жесткие диски целиком. Тогда способа расшифровать данные не было — разве что заплатить создателям мерзкого «Пети» выкуп. Теперь же пользователь Twitter с никнеймом @Leostone выложил в Сеть свою разработку, позволяющую сгенерировать ключ, и тем самым, как нам кажется, заслужил благодарность интернет-сообщества.

Поскольку этот твиттер-аккаунт не выглядит очень обжитым и вообще кажется немного подозрительным, мы решили проверить, действительно ли «лекарство» работает и не ждет ли жертв очередная неприятность. Этим занялась наша штатная команда исследователей.

Коллеги подтвердили: инструмент работает. Но есть пара сложностей. Во-первых, @Leostone выложил свой дешифратор в виде веб-страницы, генерирующей ключи. Похоже, туда немедленно устремились тысячи жертв «Пети» и просто праздно интересующихся, поскольку из-за высокой нагрузки страница сейчас работает с перебоями.

Во-вторых, лечение — это не совсем одну кнопку в программе нажать. Жертва должна достать свой жесткий диск из ПК и вставить его в другое устройство. Далее необходимо извлечь некоторые данные из определенного сектора накопителя и расшифровать их с помощью дешифратора Base64. Затем эти данные нужно загрузить на сайт, чтобы получить вожделенный ключ дешифровки для «Пети».

Как видите, это довольно сложная процедура, которая к тому же требует определенной компьютерной грамотности. Другой пользователь «Твиттера», Фабиан Восар (Fabian Wosar), облегчил задачу, создав специальную утилиту под названием Petya Sector Extractor. Вам в любом случае придется достать свой жесткий диск и вставить его в другой ПК, но дальше разработка Фабиана сделает почти все за вас. Для получения ключа остается разве что ввести данные, полученные утилитой, в форму на веб-страничке @Leostone.

Petya sot

Наши специалисты объяснили, что этот инструмент эксплуатирует уязвимость в программном коде троянца «Петя». И подобно тому, как компании выпускают патчи к дырявому ПО, скоро и киберпреступники сделают нового, поумневшего «Петю», в котором уязвимость будет устранена и одолеть которого будет гораздо сложнее.

Но пока нового Petya еще нет, а лекарство от старого уже есть. Если вы являетесь жертвой этого троянца-вымогателя и не хотите платить преступникам примерно $480, вы можете воспользоваться инструментом, созданным @Leostone. Он находится на этом веб-сайте: https://petya-pay-no-ransom.herokuapp.com/.

Утилиту Petya Sector Extractor можно скачать тут.

Чтобы расшифровать ваши файлы, следуйте этим инструкциям, предложенным на блоге Bleeping Computer.

1. Запустите программу PetyaExtractor.exe. Она просканирует все диски на компьютере и найдет «Петю». Обнаружив зловреда на каком-то из дисков, программа сообщит вам об этом.

2. Откройте браузер и перейдите на https://petya-pay-no-ransom.herokuapp.com или https://petya-pay-no-ransom-mirror1.herokuapp.com/.

3. Найдите два текстовых окна, называющихся Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для генерации ключа вам нужно заполнить оба поля.

4. Чтобы получить данные для первого окошка, кликните по кнопке CopySector в Petya Extractor. Чтобы ввести данные во второе окошко, кликните по кнопке Copy Nonce. После заполнения нужных полей можете свернуть программу.

5. Выберите кнопку Submit на веб-сайте, созданном @Leostone, или на его зеркале. Процесс генерации ключа может занять пару минут, но в конце вы получите заветную комбинацию.

6. Запишите ключ на бумагу или в телефон. Вставьте жесткий диск обратно в свой компьютер, включите его и введите полученные символы в поле пароля «Пети». Троянец должен принять комбинацию и начать расшифровку диска.

7. В конце операции вымогатель предложит вам перегрузить компьютер в нормальный режим. Настоятельно рекомендуем вам по окончании процедуры лечения проверить свой компьютер на вирусы с помощью бесплатной утилиты. Также не можем не посоветовать приобрести Kaspersky Internet Security, которая в принципе не позволяет троянцам-вымогателям шифровать данные.

Обновление от 28 июня 2017

Если вы ищете информацию о новой волне заражений шифровальщиком Petya / NotPetya / ExPetr, то про него у нас есть отдельный пост с советами, как защититься.