Размещено 30.03.2019 14:36:28
Сразу скажу, что спасти систему и документы не получилось, пользователь переустановил систему. А спасти было возможно.
Судя по источнику угрозы - это был Petya Ransomware,
после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще , в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.
На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.
во первых, это инструменты hack-petya от leo-stone, которые применимы к Petya Red:
во вторых, это загрузочный диск antipetya_ultimate от hasherezade, который так же работает для случая Red
в третьих, это инструменты от hasherezade для получения ключа по известному уникальному идентификатору (в данном случае был
), который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.
Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий
для hack-petya можно собрать информацию с помощью утилиты от Фабиана Восара :
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.
по второму методу: можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:
однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.
Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.
Замечает, что после ввода правильного ключа идет процесс расшифровки.
Интересно, что по первому методу от leo-stone, ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода hasherezade.
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
petya-pay-no-ransom.herokuapp.com и petya-pay-no-ransom-mirror1.herokuapp.com
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно .
результат:
-------------
-------------
(с), chklst.ru
Судя по источнику угрозы - это был Petya Ransomware,
| Цитата |
|---|
| DrWeb: Trojan.Ransom.369 ESET-NOD32: Win32/Diskcoder.Petya.A Malwarebytes: Ransom.Petya Kaspersky: Trojan-Ransom.Win32.Petr.a |
после проверки на VM, оказалось что это классический Petya Ransomware (вариант Red) загруженный из бескрайних просторов сети. С этим вариантом распрощались еще , в связи с тем, что автором JanusSecretary (или авторским коллективом) были сданы мастер-ключи.
На сегодня есть несколько надежных методов спасти систему и документы после подобной атаки.
во первых, это инструменты hack-petya от leo-stone, которые применимы к Petya Red:
во вторых, это загрузочный диск antipetya_ultimate от hasherezade, который так же работает для случая Red
в третьих, это инструменты от hasherezade для получения ключа по известному уникальному идентификатору (в данном случае был
| Код |
|---|
e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN) |
Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий
| Цитата |
|---|
| DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс). |
---------
для получения ключа, я использовал второй и третий методы, простой и сложный.
по второму методу: можно загрузиться с antipetya_ultimate и далее, следуя подсказкам ввести необходимые команды и параметры, и автоматически получить ключ для расшифровки MFT.
по третьему методу: можно использовать простой путь: получить скриншот экрана, содержащего идентификатор, преобразовать изображение в plain text, выделить блок с идентификатором, ANSI Win 1251(если текст с online сервиса был получен, например, в UTF-8),
далее, блок сохраняем в файл ID.txt и используем для получения ключа в petya_key:
| Код |
|---|
petya_key.exe ID.txt >>key.txt |
| Цитата |
|---|
| Choose one of the supported variants: r - Red Petya g - Green Petya or Mischa d - Goldeneye [*] My petya is: Victim file: id.txt [*] [+] Victim ID: e7QqD1pTUSGnkqKaHce5qfTZnkNG9CdTuqkGHNyYeCQad4RBmHspgMv7Wi8w517oCMBKH66rqSTE4nfRvKCSopCteN --- [+] Your key : GES27jh1Evud5HCs |
однако, этот метод сработает, если распознание рисунка будет на 100% безошибочным. Ошибка с распознанием хотя бы одного символа приведет к ошибке с получением ключа. А визуально, найти ошибку будет непросто.
Надежнее, таки загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.
Замечает, что после ввода правильного ключа идет процесс расшифровки.
Интересно, что по первому методу от leo-stone, ключ так же был вычислен (и успешно применен для расшифровки диска), но с некоторым отличием от метода hasherezade.
| Код |
|---|
GxSx7xhxExux5xCx: hack-petya от leo-stone GES27jh1Evud5HCs: petya_key от hasherezade |
остается добавить, что веб-генератор ключа, созданный leo-stone по адресам :
petya-pay-no-ransom.herokuapp.com и petya-pay-no-ransom-mirror1.herokuapp.com
спустя некоторое время прекратил работу, поэтому для получения ключа применяем им же созданную офлайновую утилиту hack-petya. И здесь есть некоторый нюанс. PetyaExtractor (F.Wosar) создавал файлики src.txt и nonce.txt в base64 кодировке (для веб-генератора ключа), а для офлайновой утилиты необходимо эти же данные предварительно .
| Код |
|---|
hack-petya.exe >>key.txt |
результат:
Скрытый текст |
|---|
| G00000000 cb f0 82 97 9a 61 e2 1b 44 a2 db c8 92 96 04 82 |.....a..D.......| 00000010 00 06 80 0e 63 5a 7e 16 5e d6 5e cd 7a ce e8 ca |....cZ~.^.^.z...| 00000020 ca f0 02 97 9a 27 e2 db c4 a4 db c8 92 56 04 82 |.....'.......V..| 00000030 02 1c 80 4e 62 5a 7e 15 de 16 5e cb 7a cc eb ca |...NbZ~...^.z...| 00000040 ca f0 02 97 9a 63 e2 5b c4 a1 db c8 92 d6 04 82 |.....c.[........| 00000050 04 3e 80 ce 65 5a fe 14 5e 96 5e cd 7a cd e8 ca |.>..eZ..^.^.z...| 00000060 c9 f0 82 98 9a 2d e2 5b 44 a2 db c8 92 96 04 82 |.....-.[D.......| 00000070 06 04 80 ce 64 5a fe 14 de 16 5e cb 7a cc eb ca |....dZ....^.z...| 00000080 c9 f0 02 9e 9a 3f e2 9b c4 a2 db c8 92 56 04 82 |.....?.......V..| 00000090 08 26 80 ce 62 5a fe 15 de 56 5e cb 7a cb eb ca |.&..bZ...V^.z...| 000000a0 cc f0 02 98 9a 61 e2 1b c4 a4 db c8 92 96 04 82 |.....a..........| 000000b0 0a 22 80 8e 64 5a fe 14 de 56 5e cb fa cc eb ca |."..dZ...V^.....| 000000c0 cb f0 02 97 9a 61 e2 db c4 a2 db c8 92 d6 04 82 |.....a..........| 000000d0 0c 1e 80 8e 62 5a fe 15 de 56 5e cb fa cd eb ca |....bZ...V^.....| 000000e0 cc f0 02 9d 9a 43 e2 1b c4 a1 db c8 92 96 04 82 |.....C..........| 000000f0 0e 38 80 ce 63 5a 7e 15 de 96 5e cb 7a cb eb ca |.8..cZ~...^.z...| [61643 38786 24986 7138 41540 51419 38546 33284 1536 3712 23139 5758 54878 52574 52858 51944] Your key is: GxSx7xhxExux5xCx |
-------------
(с), chklst.ru