专家们破解Petya赎金软件,可以免费启用硬盘解密
安全专家设计了一种方法,允许用户从感染的计算机中恢复数据,而不支付网络犯罪分子。
Petya在研究人员上出现“上个月雷达当罪犯通过垃圾邮件向公司分发了它,通过伪装成作为工作申请的垃圾邮件。它从其他文件加密的赎金软件程序中脱颖而出,因为它覆盖了硬盘驱动器的主引导记录(MBR),留下无法启动进入操作系统的受感染的计算机。
该程序替换了驱动器的合法MBR代码,该命令通常启动操作系统,其中代码加密主文件表(MFT)并显示赎金票据。MFT是NTFS卷上的特殊文件,其中包含有关所有其他文件的信息:它们的名称,大小和映射到硬盘扇区。
用户文件的实际内容未加密,但没有MFT,操作系统不再知道这些文件位于磁盘上的位置。使用数据恢复工具可以重建文件,但它不能保证完全工作,并且会耗时。
幸运的是,诉诸该方法不再需要,也没有支付Petya的作者。使用在线处理Leostone的人设计了一种算法来破解恢复MFT所需的钥匙并从Petya感染中恢复。
来自受欢迎的技术支持论坛BleepingComputer.com的计算机专家确认了该技术的工作,但它需要从受影响的硬盘驱动器中提取一些数据:512字节从扇区55(0x37h)开始,偏移为0和来自扇区54(0x36)偏移33(0x21)的8字节Once。
如果这听起来很复杂,不用担心:Fabian WOSAR来自Security公司Emsisoft创建了一个可以为您做的简单和免费的工具。但是,由于受感染的计算机无法再启动到Windows,因此使用该工具需要取出受影响的硬盘驱动器并将其连接到工具可以运行的其他计算机。可以使用外部,基于USB的硬盘驱动器扩展坞。
必须将由工具提取的数据输入到由Leostone创建的Web应用程序中,这些应用程序将使用它来破解键。然后,用户必须将受影响的硬盘驱动器返回到原始计算机,从中启动,并输入Petya显示的赎金屏幕上的键。
“一旦硬盘被解密,勒索软件会提示您重新启动计算机,现在应该正常启动,”BleepingComputer.com创始人劳伦斯·亚伯拉姆,在博客帖子中写道。
