11 апреля 2016 в 12:02

Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами



3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.



Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно:



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.
Познакомились ли вы уже с Petya дома или на работе?

Проголосовало 2410 человек. Воздержалось 407 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Максим Агаджанов @marks
карма
159,7
рейтинг 450,4
Редактор
Самое читаемое

Комментарии (45)

  • 0
    Удивило, что надо переставлять диск — почему не сделать liveCd?
    • 0
      А зачем live CD? Windows, начиная с восьмёрки поддерживает WtG (полноценная система работает с флешки). Я себе сделал две системы — 64bit (на внешнем SSD) и 32bit (на флешке, которая с контролером от SSD). Удобная штука.
      • 0
        Windows to Go — корпоративная фича. Не у всех есть лицензия на такую редакцию.
        • 0
          Если MS до сих пор не выпилила эту возможность из Pro версии, я думаю, можно пользоваться. Хотя возможно и Core будет загружаться с внешника, я не проверял.
          • 0
            Ещё в далеких 2006-2007 (точно не помню) делал загрузку по usb ещё Windows XP.
            и более новых ос...
            Инструкций в интернете — море, Vista также — но грузилась некоторыми биосами намного медленнее.
            Во времена Windows 7 уже появились конструкторы, распаковывающие Wim образ и делающие патч usb драйверов (смена группы на Base/Boot и изменение запуска сервиса (Start) на 0 (Boot).
            Думаю в Windows 8/8.1/10 не сильно все изменилось.
            Т.е. фича изначально сделана любителями.

            PS: для корректной работы нужен FBWF/EWF (который в теории требует лицензию) или иной
            драйвер, уменьшающий запись на флешку (например Superspeed Disk).

            PSS: при запуске установщика (из boot.wim) на shift+f10 можно вызвать коммандную строку, если не ошибаюсь в
            Windows 8.1/10 уже появился свой (обрезаный) explorer, который можно из неё запустить.
            Однако могут быть проблемы с запуском 32-х разрядных пиложений на 64ом -установщике (отсутствует Wow64).
            • 0
              Начиная с Win 10 установка на флешку свелась в две команды (в восьмерке отдельно нужно было dism устанавливать):
              1. dism /apply-image /imagefile:C:\install.wim /index:1 /applydir:W:\ где C:\install.wim — путь до образа, W — целевой диск, 1-индекс нужной версии системы.
              2. W:\windows\system32\bcdboot W:\windows /f ALL /s S: где W — системный раздел.
              Все просто как пять копеек. Я сейчас винду только так и устанавливаю, много быстрее, чем с диска. На мой взгляд.
              • 0
                И windows 7 так можно, только через imagex, там тоже есть что-то вроде /apply ( /apply-image).
                bcdboot там тоже есть.
                А имя той проге pwboot
                • 0
                  Да, я про это тоже слышал, но не пользовался. На момент актуальности Win 7, я такими вещами еще не интересовался.
      • 0
        расскажите подробнее, пожалуйста.

        SSD-like контроллер обязателен или пойдет «обычная» флешка тоже?
        • 0
          Я из своих эксперементов так понял, что у флешки должна быть высокая скорость чтения/записи мелкоблока (мелких файлов). У обычных флешек эта скорость на уровне сотых мегабайта в секунду. А у HDD, SSD и SSD-подобных флешек — 3-4 Мб в секунду. Это из моих наблюдений.
          • 0
            а какая модель у флешки, если не секрет?
            • +1
              Модель ADATA N005. Но эта бралась ещё в 2011-2012 году. Внутри из себя представляет бутерброд из 4 чипов памяти на двух платах и контролера. В новых той же модели все проще и они — обычные флешки.
            • +1
              Хотя нет, вру. Сейчас открыл. У неё внутри два контролера и чип с прошивкой, судя по всему. JMF601 и LV700. Ну и четыре чипа памяти на двух платах, как и говорил. Я вообще в ней первой и последней такую компоновку видел. Больше таких не попадалось.
    • +1
      Возможно для того, чтобы заразить как можно больше систем.
  • +3
    >> Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

    Люблю такую тему :) Жалко, что он еще не запрашивает установить Visual Studio, крякнуть ее и скомпилировать себя.
    • 0
      configure
      make
      sudo make install
      • 0
        Некоторым придётся еще ставить makeutils)
      • +1
        Шел 2016 год…
  • +4
    Хорошо, что есть люди, которые используют свои таланты во благо другим и пишут такие расшифровщики. Вот где талант.
  • 0
    Молодец, НО теперь и сайт не работает, лучше бы генератор ключа выложил отдельным приложением.
    • 0
      Очень странный ход с этим сайтом. Зачем завязывать всю лечилку на доступность сервера?
      • 0
        github.com/leo-stone/hack-petya

        Здесь же небольшое описание от автора
        • 0
          интересно что там комиты от 2016 года, т.е. год тому назад «Петя» уже, видимо, был.
          • 0
            Так вы и пост от 2016 года комментируете. Кстати, нынешний «Петя» — это, по классификации Касперского, «NotPetya», потому как очень сильно отличается.
  • 0
    > У Petya обнаружена также специальная схема маскировки для скрытия активности.

    Очень «специальная», которая стара как мир.

    > Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

    Интересно, много ли приложений у обычного пользователя, которые каждый раз просят админские права? Если приложение вдруг запросило для работы админские права, которые ему до этого ни разу не были нужны — одно это уже должно навести на подозрение и побудить сказать «Нет» на запрос UAC.
    • +1
      Да надо быть «компьютерным гением» изначально, чтобы запустить скрипт из аттача. А с UAC та-же проблемам, что у другого Пети, который часто кричал про волков. Знакомые пользователи поднимают панику из-за окошка «обработка завершена» с кнопкой окей, но на окно UAC жамкают «ничтоже сумняшеся»
      • 0
        многие знакомые отключают UAC, «чтобы не мешало работать», а потом обращаются — «ой, у нас тут вирусы завелись»
        • 0
          Немного переформулирую свой же вопрос: какая приблуда так часто у обычного юзера требует админские права, что из-за неё он может отключить UAC?
          • +2
            Любая из категории «шо попало».
            Всякие криво написанные клиенты непонятных игр, установщики всяких медиагетов/яндексбаров (нажимать ведь надо на самую большую кнопку «скачать», а не на ту, что поменьше). Либо UAC отключен по умолчанию в очередной «волшебной» сборке SuperMegaWindows 7.

            Иногда кажется, что существуют 2 параллельных мира — мир IT-специалистов и их окружения, где все сделано по уму (в основном), с современным софтом, и джунгли, живущие своей жизнью.

            А ведь всего пара лекций по ИБ/общим принципам работы, немного социальной рекламы могли бы сильно улучшить ситуацию…
            • +1
              А иногда люди вроде и ИТ образованы, почитаются в кругу знакомых, а они и-за своей лени ставят какие попало, не понятно кем крякнутые, сборки со встроенным софтом.
              Чтобы прийти, вставить флешку, и само все накатилось. Автоматизация вещь хорошая, но если бы эти сборки делались еще лично…
          • +2
            В первую очередь игры. Во вторую — portable-приложения, которыми сейчас очень модно пользоваться.
            Мол, даже если Windows слетит, все приложения со всеми настройками останутся, и их не надо будет переустанавливать. Или если комп проапгрейдится — простым копированием можно перенести, очень удобно. Даже MS Office и Photoshop ставят в Portable-вариантах.
            В-третьих, куча Legacy-софта, который всё ещё пытается хранить настройки не в реестре и не в профиле пользователя, а прямиком в собственной папке с exe'шником.
            В четвёртом эшелоне идёт всё то, что устанавливается при втыкании в USB всевозможных камер / смартфонов / планшетов. Когда при каждом подключении девайса выскакивает UAC, это действительно может задалбывать.
            • 0
              По четвёртому случаю не понял, у меня просто спрашивает, что сделать с устройством (Win 10), UAC обычно появляется когда запускаю инсталяторы и софт с админскими правами.
            • 0
              Куча легаси софта спокойно работает и система перекладывает файлы в профиль пользователя сама, если конечно UAC включён. С остальным согласен, там будут тонкости.
              • 0
                Иногда бывает, что легаси-программист делает новый софт используя легаси-подходы, но современные инструменты. В таком случае система уже не перекладывает файлы в профиль пользователя — но программа все еще хочет доступ к своей папке на запись. Тут-то и возникают идеи вроде «да просто запусти ее под админом» :)

                (Хотя правильное решение в таком случае — «выкусить» манифест из программы редактором ресурсов)
                • 0
                  Агу :) и такое тоже бывает, но такого софта обычно мало, мне например вообще не попадалось, обычно проблемы как раз со старым софтом выпущенным ещё в лохматые годы до Vista (т. е. уже 10 лет и старше).
          • +1
            Raidcall, например.
    • +1
      Очень многие, когда хотят обновиться.
  • 0
    Для криптовымогателя с названием «Better Call Saul» есть какие-нибудь решения?
    • +1
      По моему нет, так же как и по большей части такой рансомвари.
  • +1
    Интересно было бы узнать подробности алгоритма. Мне казалось, что хреновая криптография для вымогателей — пройденный этап.
    • 0
      Самоответ: https://github.com/leo-stone/hack-petya
  • 0
    Жаль конечно что автор декриптора не поделился самим декриптором, а привязал алгоритм на сайт. Хотя я думаю, раз требуется 2 выдраных куска из пораженного жесткого диска — эти самые куски существуют на всех хардах с NTFS в неизменном виде, видимо на этом и основан алгоритм дешифрации — ключ подбирается на сравнении заведомо известных данных.
    • 0
      В комментаиях дали ссылку на гитхаб уже: github.com/leo-stone/hack-petya
      Не самый сложный алгоритм, но довольно интересно всё же.
  • 0
    Ваш Petya Sector Extractor сам вирус… У меня Microsoft Security Essentials прям слёту его удалил за доли секунды сказав что этот файл который в архиве подлежит к немедленному удалению. Я даже не успел что либо сообразить и сказать «А».
    • 0
      возможно, причина в том, что он получает доступ к секторам жесткого диска, что по умолчанию считается подозрительным?
      Иначе, к сожалению, ключ не получить

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.