Decoder della chiave di Petya

Ho creato il decoder per la chiave del ransomware Petya . Funziona per la fase 1 della cifratura, se il sistema non è stato riavviato dopo l’infezione. La ricerca per decifrare la fase 2 è in corso.

AGGIORNAMENTO: l’8 Aprile 2016 la fase 2 di Petya è stata violata da leo-stone. Ulteriori informazioni: https://petya-pay-no-ransom.herokuapp.com/ e https://github.com/leo-stone/hack-petya. Congratulazioni all’autore!

Ho aggiornato il decoder: se non verrà fornita la chiave della fase 1, presenterà i dati necessari da fornire al sito: https://petya-pay-no-ransom.herokuapp.com/ o https://petya-pay-no-ransom-mirror1.herokuapp.com/
Ho annotato alcuni suggerimenti per gli utenti.

La mia ricerca è possibile grazie a Malwarebytes .
Dichiarazione di non responsabilità: Questo strumento è sperimentale, volto a sbloccare un particolare tipo di ransomware. Né Malwarebytes né Hasherezade garantiscono che vi aiuterà nel vostro caso particolare. Non deve essere considerata una soluzione ufficiale al problema Petya. Qualsiasi file distrutto, ulteriormente cifrato, o comunque manomesso, contrario al desiderio degli utenti, non è imputabile agli sviluppatori. Utilizzare a proprio rischio e pericolo.

È possibile scaricare il binario del decoder qui (è 64bit ELF). Il codice sorgente è disponibile qui.


Alcuni suggerimenti

Se avete aperto qualche eseguibile scaricato da Internet e il sistema è bloccato,
può essere stato l’attacco del RANSOMWARE PETYA.

La cosa migliore è non lasciare che il sistema si riavvii dopo la schermata blu. Tuttavia, anche se non siete riusciti a prendere Petya a tempo debito, c’è ancora la possibilità di recuperare i dati.

Cosa fare:

1) Da un altro computer scaricare la ISO 64 bit di Kali Linux ( https://www.kali.org/downloads/ ) e registrarla su un DVD
2) Avviare il computer bloccato da questo DVD, scegliere la modalità forensic.

kali_forensics

3) Ora montate il disco rigido originale. Trovate la sua identificazione, ad es. utilizzando:

fdisk -l

Output di esempio:

Device     Boot Start     End Sectors  Size Id Type
/dev/sda1  *      [....]

significa che il disco è sda

4) Scaricate il decoder e rendetelo eseguibile (chmod +x decoder). Eseguitelo:

./decoder /dev/sda

Se siete riusciti a prendere Petya nella Fase 1, questo decoder vi darà una chiave direttamente:

Key: MbVNTr2C2JicRsG8
[OK] Stage 1 key recovered!

In caso contrario, dobbiamo recuperare dalla Fase 2 . Il decoder vi darà dati che sarà necessario fornire al sito di terze parti (se la pagina non è disponibile usate il mirror ).
Esempio di output:

Invalid Stage1 key length!
Try to recover from Stage2 by third-party decoder!
Paste this data to: https://petya-pay-no-ransom.herokuapp.com/

verification data:
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

nonce:
kRl080HvgUU=

Incollate i dati in vostro possesso nella destinazione appropriata del sito:
paste_data
Inviate e attendete fino alla comparsa della chiave:
your_key

5) Copiate o annotate la chiave risultante. È molto importante per il recupero!
6) Anche se il decoder vi ha fornito una chiave, le nuove versioni di Petya possono essere modificate. Ecco perché non posso garantire che questa chiave potrà essere valida!
Consiglio vivamente di fare un dump dell’intero disco.
In primo luogo montate un disco esterno di capacità adeguata e effettuate lì il dump dell’intero disco:

dd if=<path_to_infected_disk> of=<path_to_external_disk>

esempio:

dd if=/dev/sda of=/media/root/kingston

Successivamente sarà possibile riavviare il sistema dal disco. Se viene visualizzata la schermata di Petya, fornite la chiave che avete ottenuto dal decoder:

decrypting
Ora il sistema dovrebbe avviarsi normalmente.

( Il post è stato tradotto grazie all’esplicita autorizzazione di hasherezade’s 1001 nights )

Fonte: Petya key decoder

Written by admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *