3 апреля на Habrahabr появилась информация по обнаружению нового криптовымогателя, который шифрует не отдельные файлы, а весь раздел диска (том). Программа получила название Petya, а ее целью является таблица размещения файлов NTFS. Ransomware работает с диском на низком уровне, с полной потерей доступа к файлам тома для пользователя.

У Petya обнаружена также специальная схема маскировки для скрытия активности. Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения. Как только расширенные привилегии получены, зловредное ПО начинает действовать. Как только том зашифрован, криптовымогатель начинает требовать у пользователя деньги, причем на выплату «выкупа» дается определенный срок. Если пользователь не выплачивает средства за это время, сумма удваивается. «Поле чудес», да и только.



Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.

Что нужно делать?

Зараженный носитель нужно вставить в другой ПК и извлечь определенные данные из определенных секторов зараженного жесткого диска. Эти данные затем нужно прогнать через Base64 декодер и отправить на сайт для обработки.

Конечно, это не самый простой способ, и для многих пользователей он может быть вообще невыполнимым. Но выход есть. Другой пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.



Извлеченную информацию нужно загрузить на сайт, указанный выше. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. Для того, чтобы получить ключ, нужно ввести данные, извлеченные программой, в эти два поля.

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте.

Если все сделано правильно, должно появиться вот такое окно:



Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться около минуты.



Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.



Petya начинает дешифровку тома, и все начинает работать по завершению процесса.
Познакомились ли вы уже с Petya дома или на работе?

Проголосовал 1551 человек. Воздержалось 260 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Комментарии (40)


  1. ed007
    11.04.2016 12:55

    Удивило, что надо переставлять диск — почему не сделать liveCd?


    1. DagothNik
      11.04.2016 13:04

      А зачем live CD? Windows, начиная с восьмёрки поддерживает WtG (полноценная система работает с флешки). Я себе сделал две системы — 64bit (на внешнем SSD) и 32bit (на флешке, которая с контролером от SSD). Удобная штука.


      1. DikSoft
        11.04.2016 15:42

        Windows to Go — корпоративная фича. Не у всех есть лицензия на такую редакцию.


        1. DagothNik
          11.04.2016 15:46

          Если MS до сих пор не выпилила эту возможность из Pro версии, я думаю, можно пользоваться. Хотя возможно и Core будет загружаться с внешника, я не проверял.


          1. EvgeniD
            13.04.2016 14:47

            Ещё в далеких 2006-2007 (точно не помню) делал загрузку по usb ещё Windows XP.

            и более новых ос...
            Инструкций в интернете — море, Vista также — но грузилась некоторыми биосами намного медленнее.
            Во времена Windows 7 уже появились конструкторы, распаковывающие Wim образ и делающие патч usb драйверов (смена группы на Base/Boot и изменение запуска сервиса (Start) на 0 (Boot).
            Думаю в Windows 8/8.1/10 не сильно все изменилось.
            Т.е. фича изначально сделана любителями.

            PS: для корректной работы нужен FBWF/EWF (который в теории требует лицензию) или иной
            драйвер, уменьшающий запись на флешку (например Superspeed Disk).

            PSS: при запуске установщика (из boot.wim) на shift+f10 можно вызвать коммандную строку, если не ошибаюсь в
            Windows 8.1/10 уже появился свой (обрезаный) explorer, который можно из неё запустить.
            Однако могут быть проблемы с запуском 32-х разрядных пиложений на 64ом -установщике (отсутствует Wow64).


            1. DagothNik
              13.04.2016 14:52

              Начиная с Win 10 установка на флешку свелась в две команды (в восьмерке отдельно нужно было dism устанавливать):
              1. dism /apply-image /imagefile:C:\install.wim /index:1 /applydir:W:\ где C:\install.wim — путь до образа, W — целевой диск, 1-индекс нужной версии системы.
              2. W:\windows\system32\bcdboot W:\windows /f ALL /s S: где W — системный раздел.
              Все просто как пять копеек. Я сейчас винду только так и устанавливаю, много быстрее, чем с диска. На мой взгляд.


              1. EvgeniD
                19.04.2016 18:01

                И windows 7 так можно, только через imagex, там тоже есть что-то вроде /apply ( /apply-image).
                bcdboot там тоже есть.
                А имя той проге pwboot


                1. DagothNik
                  19.04.2016 18:05

                  Да, я про это тоже слышал, но не пользовался. На момент актуальности Win 7, я такими вещами еще не интересовался.


      1. istui
        11.04.2016 15:52

        расскажите подробнее, пожалуйста.

        SSD-like контроллер обязателен или пойдет «обычная» флешка тоже?


        1. DagothNik
          11.04.2016 15:58

          Я из своих эксперементов так понял, что у флешки должна быть высокая скорость чтения/записи мелкоблока (мелких файлов). У обычных флешек эта скорость на уровне сотых мегабайта в секунду. А у HDD, SSD и SSD-подобных флешек — 3-4 Мб в секунду. Это из моих наблюдений.


          1. istui
            11.04.2016 16:07

            а какая модель у флешки, если не секрет?


            1. DagothNik
              11.04.2016 16:12
              +1

              Модель ADATA N005. Но эта бралась ещё в 2011-2012 году. Внутри из себя представляет бутерброд из 4 чипов памяти на двух платах и контролера. В новых той же модели все проще и они — обычные флешки.


            1. DagothNik
              11.04.2016 16:19
              +1

              Хотя нет, вру. Сейчас открыл. У неё внутри два контролера и чип с прошивкой, судя по всему. JMF601 и LV700. Ну и четыре чипа памяти на двух платах, как и говорил. Я вообще в ней первой и последней такую компоновку видел. Больше таких не попадалось.


    1. volt_amper
      11.04.2016 13:43
      +1

      Возможно для того, чтобы заразить как можно больше систем.


  1. denis_g
    11.04.2016 13:40
    +3

    >> Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

    Люблю такую тему :) Жалко, что он еще не запрашивает установить Visual Studio, крякнуть ее и скомпилировать себя.


    1. ProstoTyoma
      11.04.2016 15:08

      configure
      make
      sudo make install


      1. evilrussian
        11.04.2016 16:38

        Некоторым придётся еще ставить makeutils)


      1. urtow
        11.04.2016 18:56
        +1

        Шел 2016 год…


  1. GegSpb
    11.04.2016 13:42
    +4

    Хорошо, что есть люди, которые используют свои таланты во благо другим и пишут такие расшифровщики. Вот где талант.


  1. Muhich
    11.04.2016 13:42

    Молодец, НО теперь и сайт не работает, лучше бы генератор ключа выложил отдельным приложением.


    1. tmin10
      11.04.2016 15:12

      Очень странный ход с этим сайтом. Зачем завязывать всю лечилку на доступность сервера?


      1. JustFailer
        11.04.2016 19:37

        github.com/leo-stone/hack-petya

        Здесь же небольшое описание от автора


  1. AquiHostStrider
    11.04.2016 15:34

    > У Petya обнаружена также специальная схема маскировки для скрытия активности.

    Очень «специальная», которая стара как мир.

    > Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

    Интересно, много ли приложений у обычного пользователя, которые каждый раз просят админские права? Если приложение вдруг запросило для работы админские права, которые ему до этого ни разу не были нужны — одно это уже должно навести на подозрение и побудить сказать «Нет» на запрос UAC.


    1. fpir
      11.04.2016 16:11
      +1

      Да надо быть «компьютерным гением» изначально, чтобы запустить скрипт из аттача. А с UAC та-же проблемам, что у другого Пети, который часто кричал про волков. Знакомые пользователи поднимают панику из-за окошка «обработка завершена» с кнопкой окей, но на окно UAC жамкают «ничтоже сумняшеся»


      1. istui
        11.04.2016 16:16

        многие знакомые отключают UAC, «чтобы не мешало работать», а потом обращаются — «ой, у нас тут вирусы завелись»


        1. AquiHostStrider
          11.04.2016 17:58

          Немного переформулирую свой же вопрос: какая приблуда так часто у обычного юзера требует админские права, что из-за неё он может отключить UAC?


          1. istui
            11.04.2016 19:27
            +2

            Любая из категории «шо попало».
            Всякие криво написанные клиенты непонятных игр, установщики всяких медиагетов/яндексбаров (нажимать ведь надо на самую большую кнопку «скачать», а не на ту, что поменьше). Либо UAC отключен по умолчанию в очередной «волшебной» сборке SuperMegaWindows 7.

            Иногда кажется, что существуют 2 параллельных мира — мир IT-специалистов и их окружения, где все сделано по уму (в основном), с современным софтом, и джунгли, живущие своей жизнью.

            А ведь всего пара лекций по ИБ/общим принципам работы, немного социальной рекламы могли бы сильно улучшить ситуацию…


            1. ScoutUa
              13.04.2016 14:32
              +1

              А иногда люди вроде и ИТ образованы, почитаются в кругу знакомых, а они и-за своей лени ставят какие попало, не понятно кем крякнутые, сборки со встроенным софтом.
              Чтобы прийти, вставить флешку, и само все накатилось. Автоматизация вещь хорошая, но если бы эти сборки делались еще лично…


          1. Alexey2005
            11.04.2016 22:56
            +2

            В первую очередь игры. Во вторую — portable-приложения, которыми сейчас очень модно пользоваться.
            Мол, даже если Windows слетит, все приложения со всеми настройками останутся, и их не надо будет переустанавливать. Или если комп проапгрейдится — простым копированием можно перенести, очень удобно. Даже MS Office и Photoshop ставят в Portable-вариантах.
            В-третьих, куча Legacy-софта, который всё ещё пытается хранить настройки не в реестре и не в профиле пользователя, а прямиком в собственной папке с exe'шником.
            В четвёртом эшелоне идёт всё то, что устанавливается при втыкании в USB всевозможных камер / смартфонов / планшетов. Когда при каждом подключении девайса выскакивает UAC, это действительно может задалбывать.


            1. tmin10
              12.04.2016 03:16

              По четвёртому случаю не понял, у меня просто спрашивает, что сделать с устройством (Win 10), UAC обычно появляется когда запускаю инсталяторы и софт с админскими правами.


          1. DuratarskeyK
            12.04.2016 11:02
            +1

            Raidcall, например.


    1. lexx_v11
      12.04.2016 01:50
      +1

      Очень многие, когда хотят обновиться.


  1. SvyatoslavMC
    11.04.2016 16:45

    Для криптовымогателя с названием «Better Call Saul» есть какие-нибудь решения?


    1. AdmAlexus
      12.04.2016 14:50
      +1

      По моему нет, так же как и по большей части такой рансомвари.


  1. ProstoTyoma
    11.04.2016 18:31
    +1

    Интересно было бы узнать подробности алгоритма. Мне казалось, что хреновая криптография для вымогателей — пройденный этап.


    1. ProstoTyoma
      12.04.2016 15:27

      Самоответ: https://github.com/leo-stone/hack-petya


  1. Stealch
    11.04.2016 18:57

    Жаль конечно что автор декриптора не поделился самим декриптором, а привязал алгоритм на сайт. Хотя я думаю, раз требуется 2 выдраных куска из пораженного жесткого диска — эти самые куски существуют на всех хардах с NTFS в неизменном виде, видимо на этом и основан алгоритм дешифрации — ключ подбирается на сравнении заведомо известных данных.


    1. watashiwaale
      18.04.2016 10:49

      В комментаиях дали ссылку на гитхаб уже: github.com/leo-stone/hack-petya
      Не самый сложный алгоритм, но довольно интересно всё же.


  1. l_u_x_u_s
    14.04.2016 12:46

    Ваш Petya Sector Extractor сам вирус… У меня Microsoft Security Essentials прям слёту его удалил за доли секунды сказав что этот файл который в архиве подлежит к немедленному удалению. Я даже не успел что либо сообразить и сказать «А».


    1. istui
      14.04.2016 15:33

      возможно, причина в том, что он получает доступ к секторам жесткого диска, что по умолчанию считается подозрительным?
      Иначе, к сожалению, ключ не получить