被加密勒索的数据有救了

2016-04-13 00:06:21 +08:00
 baskice
有人发布了 petya 解压密匙生成软件
https://petya-pay-no-ransom.herokuapp.com/

具体见: http://arstechnica.com/security/2016/04/experts-crack-nasty-ransomware-that-took-crypto-extortion-to-new-heights/
中文: 勒索软件越来越恶意,一种被称为 Petya 的新勒索软件通过加密主引导文件而导致被感染的计算机系统无法启动,启动盘上的所有文件都无法访问。现在,一位安全专家发布了一个免费的解密密钥生成器,能生成解密文件所需要的密钥。但要使用该免费工具,受害者需要从被感染的计算机上卸下启动盘,连接到另一台没有感染的 Windows 机器上,从硬盘上提取出解密所需要的数据。提取数据的过程对大多数人来说并不轻松,但另一位研究人员已经开发了另一个工具 Petya Sector Extractor ( zip ),能在几秒钟内提取出所需的数据,然后输入到生成器内产生解密密钥。该工具需要在连接启动盘的 Windows 机器上运行。

来自 http://www.solidot.org/story?sid=47827
2779 次点击
所在节点    问与答
7 条回复
Septembers
2016-04-13 00:24:15 +08:00
请不要全文转载
zander
2016-04-13 01:08:42 +08:00
我还以为是 RSA4096 告破。
acess
2016-04-13 06:54:06 +08:00
别的媒体也报道了:
http://www.ithome.com/html/it/216771.htm
但是我觉得这里有点奇怪,原文:
手工修复方法
根据该木马的特点,只要备份 0 扇区的数据,中毒之后恢复 0 扇区的数据,清除 1-33 扇区的垃圾数据和 34 扇区到 49 扇区写入的恶意代码即可。

首先……备份从哪里找?如果没有备份该怎么办?
另外, 0 扇区的东西真的需要备份吗?哪怕是分区表没了,不也是可以通过各种软件扫描重建的吗?
还有,不需要解密什么的吗?
ckzx
2016-04-13 08:11:54 +08:00
这木马这么良心?只破坏 MBR ?不加密内部文件?
zingl
2016-04-13 11:28:20 +08:00
看到了商机,代解锁 100 元 /次
acess
2016-04-15 18:45:54 +08:00
@ckzx 手里没有样本,但其他报道提到过,这个东西会显示一个磁盘检查界面,让用户不要关机,实际上就是在加密 MFT 数据。
acess
2016-04-15 19:00:09 +08:00
@ckzx
加密是在重启后完成的,所以如果手速足够快,在加密开始前就断电的话,重写 MBR 就搞定了。
http://blogs.360.cn/360safe/2016/04/05/what_is_petya/
但能中这个的也许想不到拔电源吧……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/270588

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX