Sicherheit

Bringt The Petya Ransomware Crack Ihre Dateien zurück?

Bringt The Petya Ransomware Crack Ihre Dateien zurück? / Sicherheit

Ransomware ist auf dem Vormarsch. Cyberkriminelle haben die Wette hinter Beyond Your Computer erhöht: 5 Wege, auf denen Ransomware Sie in Zukunft über den Computer hinausführen wird: 5 Wege, auf die Ransomware Sie in die Zukunft bringt Ransomware ist wahrscheinlich die bösartigste Malware, die es gibt, und die Kriminellen, die sie einsetzen, werden immer mehr Hier sind fünf besorgniserregende Dinge, die bald als Geisel genommen werden könnten, einschließlich intelligenter Häuser und intelligenter Autos. Lesen Sie mehr im Kampf um Ihre Daten und stellen Sie eine Reihe von Malware vor, die Ihre persönlichen Daten verschlüsseln soll. Ihr ultimatives Ziel ist es, Geld von Ihnen zu erpressen. Wenn ihre Anforderungen nicht erfüllt werden, bleiben Ihre verschlüsselten Dateien unerreichbar.

Nicht verfügbar. Hat verloren.

Angriffe auf Einzelpersonen sind nicht bahnbrechend. Auch die Schlagzeilen gehen nicht. Im Jahr 2015 erhielt das FBI jedoch knapp 2.500 Beschwerden, die sich direkt auf Ransomware-Angriffe bezogen. Dies bedeutet einen Verlust von 24 Millionen US-Dollar für die Opfer.

Vor etwas mehr als zwei Wochen eine neue Ransomware-Variante, Petya, aufgetaucht. Sobald Sicherheitsforscher begonnen hatten, Warnungen in Bezug auf die Fähigkeiten der Ransomware und die spezifischen Angriffsmethoden zu verwalten, brach ein irritierter Mensch die Petya-Verschlüsselung. Dies bedeutet, dass Tausende von potenziellen Opfern ihre Akten sicher entschlüsseln können, wodurch Zeit, Geld und Berge von Frustration gespart werden.

Warum Petya anders ist

Ransomware-Infektionen folgen normalerweise einem linearen Pfad. Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Was ist ein Bootkit und ist Nemesis eine echte Bedrohung? Hacker finden weiterhin Möglichkeiten, Ihr System zu stören, beispielsweise das Bootkit. Sehen wir uns an, was ein Bootkit ist, wie die Nemesis-Variante funktioniert, und überlegen Sie, was Sie tun können, um klar zu bleiben. Weiterlesen . Sobald ein System kompromittiert ist, scannt die Ransomware den gesamten Computer. Machen Sie sich nicht vor den Betrügern schuldig: Ein Leitfaden für Ransomware und andere Bedrohungen Lassen Sie sich nicht durch die Betrüger überfallen: Ein Leitfaden für Ransomware und andere Bedrohungen Lesen Sie mehr und beginnen Sie mit der Verschlüsselung verarbeiten. Abhängig von der Ransomware-Variante Vermeiden Sie, Opfer dieser drei Ransomware-Betrügereien zu werden Vermeiden Sie, Opfer dieser drei Ransomware-Betrügereien zu fallen Mehrere prominente Ransomware-Betrügereien sind zur Zeit im Umlauf; Lassen Sie uns drei der verheerendsten durchgehen, damit Sie sie erkennen können. Weitere Informationen, Netzwerkstandorte können auch verschlüsselt werden. Sobald der Verschlüsselungsprozess abgeschlossen ist, sendet die Ransomware eine Nachricht an den Benutzer, in der er über die Optionen informiert wird: Zahlen Sie aus oder verlieren Sie nicht. Zahlen Sie nicht auf - How to Beat Ransomware! Bezahlen Sie nicht - wie man Ransomware besiegt! Stellen Sie sich vor, wenn jemand vor Ihrer Tür auftauchte und sagte: "Hey, in Ihrem Haus gibt es Mäuse, von denen Sie nichts wussten. Geben Sie uns 100 Dollar, und wir werden sie loswerden." Dies ist die Ransomware… Lesen Sie weiter .

Bei den jüngsten Variationen der Ransomware wurden persönliche Benutzerdateien ignoriert. Stattdessen sollte die Master File Table (MFT) des Laufwerks C: stattdessen verschlüsselt werden, wodurch ein Computer unbrauchbar wird.

Hauptdateitabelle

Petya wurde weitgehend über eine bösartige E-Mail-Kampagne verbreitet.

“Die Opfer würden eine E-Mail erhalten, die darauf zugeschnitten ist, wie ein geschäftsbezogenes Schreiben eines Unternehmens auszusehen und zu lesen “Antragsteller” eine Stelle in einem Unternehmen suchen. Es würde Benutzern einen Hyperlink zu einem Dropbox-Speicherort anzeigen, der den Benutzer angeblich den Lebenslauf des Bewerbers herunterladen könnte..”

Nach der Installation ersetzt Petya den Master Boot Record (MBR). Der MBR ist die Information, die im ersten Sektor der Festplatte gespeichert ist und den Code enthält, der die aktive primäre Partition lokalisiert. Das Überschreiben verhindert, dass Windows normal lädt, und verhindert den Zugriff auf den abgesicherten Modus.

Nach dem Überschreiben des MBR durch Petya wird die MFT verschlüsselt. Diese Datei befindet sich auf NTFS-Partitionen und enthält wichtige Informationen zu jeder anderen Datei auf dem Laufwerk. Petya erzwingt dann einen Neustart des Systems. Beim Neustart findet der Benutzer einen gefälschten CHKDSK-Scan. Während der Scan scheinbar die Volume-Integrität sicherstellt, ist das Gegenteil der Fall. Wenn der CHKDSK abgeschlossen ist und Windows versucht zu laden, zeigt der modifizierte MBR einen ASCII-Schädel mit einem Ultimatum an, um ein Lösegeld zu zahlen, normalerweise in Bitcoin.

Der Wiederherstellungspreis liegt bei rund 385 US-Dollar. Dies kann sich jedoch aufgrund des Bitcoin-Wechselkurses ändern. Wenn der Benutzer die Warnung ignoriert, verdoppelt sich das Bitcoin-Lösegeld. Wenn der Benutzer den Erpressungsversuch weiterhin ablehnt, löscht der Autor von Petya Ransomware den Verschlüsselungsschlüssel.

Hack-Petya-Mission

Wo Ransomware-Designer bei der Auswahl der Verschlüsselung normalerweise äußerst vorsichtig sind, ist der Autor von Petya “rutschte aus.” Ein nicht identifizierter Programmierer hat herausgefunden, wie man die Verschlüsselung von Petya nach einer “Der Osterbesuch meines Schwiegervaters brachte mich in dieses Durcheinander.”

Der Crack kann den Verschlüsselungsschlüssel offenlegen, der zum Entsperren des verschlüsselten Master-Boot-Datensatzes erforderlich ist, wodurch die Systemdateien freigegeben werden. Um die Kontrolle über die Dateien wieder zu erlangen, müssen Benutzer zunächst die infizierte Festplatte vom Computer entfernen und sie an einen anderen funktionierenden Computer anschließen. Sie können dann eine Reihe von Datenzeichenfolgen extrahieren, um sie in das Werkzeug einzugeben.

Das Extrahieren der Daten ist schwierig und erfordert spezielle Werkzeuge und Kenntnisse. Glücklicherweise hat Emsisoft-Mitarbeiter Fabian Wosar ein spezielles Tool entwickelt, um dieses Problem zu lösen “die eigentliche Entschlüsselung benutzerfreundlicher.” Hier finden Sie den Petya Sector Extractor. Laden Sie es herunter und speichern Sie es auf dem Desktop des Computers, der für das Update verwendet wird.

Könnten "Journalisten" bitte ihre Hausaufgaben machen? Ich bin nicht dafür verantwortlich, dass Petya entschlüsselbar ist. Gutschrift @leo_and_stone.

- Fabian Wosar (@fwosar) 15. April 2016

Wosars Tool extrahiert die 512 Byte, die für den Petya-Crack erforderlich sind, “beginnend bei Sektor 55 (0x37h) mit einem Offset von 0 und der 8-Byte-Nonce von Sektor 54 (0x36) Offset: 33 (0x21).” Sobald die Daten extrahiert wurden, konvertiert das Tool diese in die erforderliche Base64-Kodierung. Es kann dann in die Petya-no-Pay-Lösegeld-Website eingegeben werden.

Ich habe lediglich ein kleines 50-Zeilen-Tool bereitgestellt, das die eigentliche Entschlüsselung benutzerfreundlicher macht.

- Fabian Wosar (@fwosar) 15. April 2016

Wenn Sie das Entschlüsselungskennwort erstellt haben, notieren Sie es. Sie müssen jetzt die Festplatte ersetzen und dann das infizierte System starten. Wenn der Petya-Sperrbildschirm angezeigt wird, können Sie Ihren Entschlüsselungsschlüssel eingeben.

Ein ausführliches Tutorial zur Datenstring-Extraktion, zur Eingabe der konvertierten Daten in die Website und zum Generieren des Entschlüsselungskennworts finden Sie hier.

Entschlüsselung für alle?

Die Kombination aus Leo-Steins Verschlüsselungs-Crack und dem Petya-Sektor-Extraktor von Fabian Wosar sorgt für gutes Lesen. Jeder, der über das technische Wissen verfügt, um nach einer Lösung für seine verschlüsselten Dateien zu suchen, hat möglicherweise die Chance, die Kontrolle über seine Daten wiederzuerlangen.

Jetzt ist die Lösung vereinfacht worden. Benutzer ohne viel technisches Wissen könnten ihr infiziertes System in einer lokalen Reparaturwerkstatt bringen und die Techniker darüber informieren, was sie tun müssen oder zumindest was sie für notwendig erachten.

Allerdings auch als Weg zur Fixierung diese bestimmte Ransomware-Variante ist so viel einfacher geworden, Ransomware ist immer noch ein massives, sich ständig weiterentwickelndes Problem, mit dem jeder von uns konfrontiert ist. Ransomware wächst weiter - wie können Sie sich schützen? Ransomware wächst weiter - wie können Sie sich schützen? Weiterlesen . Und obwohl dieser Weg einfacher zu finden und leichter zu befolgen ist, wissen die Ransomware-Autoren, dass es eine große Mehrheit der Benutzer gibt, die einfach keine Chance haben werden, die Dateien zu entschlüsseln, ihre einzige Chance auf eine Wiederherstellung durch kaltes, hartes, nicht nachverfolgbares Bitcoin.

Trotz ihrer anfänglichen Codierung Fauxpas, Ich bin sicher, die Autoren von Petya Ransomware sitzen nicht herum und tun sich selbst leid. Nun, da diese Methode der Entschlüsselung und Entschlüsselung an Bedeutung gewinnt, arbeiten sie wahrscheinlich daran, ihren Code zu aktualisieren, um die Lösung zu deaktivieren, und die Tür zur Datenwiederherstellung wieder zu schließen.

Warst du ein Ransomware-Opfer? Haben Sie es geschafft, Ihre Dateien wiederherzustellen, oder haben Sie das Lösegeld bezahlt? Lass es uns unten wissen!

Erfahren Sie mehr über: Ransomware.