Вопрос: Я жертва Ретийского выкупа. Есть ли решение для дешифрования моего диска?


Мой компьютер был зашифрован в Petya ransomware. После длительного поиска я не смог найти решение, отличное от использования программного обеспечения для восстановления файлов.

Это немного помогает, но мне интересно, есть ли способ полностью восстановить диск. Я не собираюсь платить.


205
2018-04-10 13:44


Источник


Чтобы улучшить этот вопрос, возможно, вам захочется добавить некоторые контрольные признаки того, что заражение ransomware происходит от этой конкретной вредоносной программы. Большинство пользователей не имеют права указывать имя конкретной вредоносной программы, которая их ударила, что означает, что они не найдут этот вопрос. - Philipp
Я не думаю, что есть настоящая инфекция, они просто собирают представителей, что хорошо здесь, на SU, если это хороший вопрос, о котором раньше не спрашивали. - Moab
Похоже, это не хватит репутации, а гласность для эксплойта, который сам OP. Я бы не жалел об этом, он выглядит нетривиальным и потенциально полезным :-) - alexis
Я знаю, что это не очень важно, но не могли бы вы поделиться тем, как это произошло? Возможно, это поможет другим пользователям избежать этой проблемы. - Nobilis
Могу ли я получить изображение сообщения - Suici Doga


Ответы:


К счастью, да, есть решение - я написал приложение, которое поможет в этом.

Шифрование Petya было отменено, проанализировано, и есть решение получить ключ дешифрования, как раз из данных на зашифрованном диске.

Код программы для восстановления ключей размещен на github: https://github.com/leo-stone/hack-petya,

Если вы не можете или не хотите самостоятельно компилировать программу,
есть онлайн-сервис:
https://petya-pay-no-ransom.herokuapp.com/
https://petya-pay-no-ransom-mirror1.herokuapp.com/ (если первая ссылка является ошибкой для вас)
 

Однако вам все равно придется иметь небольшой опыт работы с компьютером, чтобы получить необходимые данные с вашего диска.

Обновление: сервис был снят, он больше не использовался.


313
2018-04-10 13:55



Вот почему вы никогда не должны писать свое собственное шифрование. Хотя я полагаю, что в этом случае им повезло, что они это сделали. Если бы они использовали AES, не было бы способа перетащить ключ таким образом. - BlueRaja - Danny Pflughoeft
@vsz Авторы этой вредоносной программы шифруют жесткий диск на аппаратном уровне и написали свой собственный загрузчик (!?!). Я уверен, что они слышали об AES. Это похоже на то, как говорит оакад, они, вероятно, сделали это намеренно для максимальной скорости. - BlueRaja - Danny Pflughoeft
О, правило раскрытия. я делаю сильно рекомендую вам это сделать, если только я получаю тонну флагов спама для полезного инструмента;) - Journeyman Geek♦
Не могли бы вы добавить базовое объяснение того, что делает ваш код? Ответ завершен; Мне просто любопытно, и мой школьный WiFi не позволяет мне загружать репозитории GitHub, которые не принадлежат мне. - Nic Hartley
@QPayTaxes Автор идет об этом намеренно окольным способом - вы можете подключить подпрограмму дешифрования практически к любому решателю ограничений и получить ответ за считанные секунды ( pastebin.com/Zc16DfL1 ) - ŹV -