פרסומת
Ransomware נמצא במגמת עלייה. פושעי רשת העלינו את ההימור מעבר למחשב שלך: 5 דרכים Ransomware תיקח אותך בשבי בעתידRansomware הוא כנראה התוכנה הזדונית הכי לא נעימה שיש שם, והפושעים המשתמשים בה הופכים ליותר למתקדמים, להלן חמישה דברים מדאיגים שאפשר לקחת אותם כבני ערובה בקרוב, כולל בתים חכמים וחכמים מכוניות. קרא עוד בקרב על הנתונים שלך, הצגת שטחים של תוכנות זדוניות מתקדמות שנועדו להצפין את הנתונים האישיים שלך. המטרה הסופית שלהם היא לסחוט ממך כסף. אלא אם כן מתקיימות דרישותיהם, הקבצים המוצפנים שלך יישארו מחוץ להישג יד.
אינו זמין. אבודים.
התקפות על אנשים אינן פורצות דרך. הם גם לא מגדילים את הכותרות. אבל ב־ 2015 היה ה- FBI מקבל קצת פחות מ -2,500 תלונות בהתייחס ישירות להתקפות הקשורות לתוכנות רנסומריות, והסתכמו בכ -24 מיליון דולר בהפסדים לקורבנות.
לפני קצת יותר משבועיים, גרסה חדשה של תוכנות רנסומריות, פטיה, הגיח. עם זאת, ממש ברגע שחוקרי האבטחה החלו לנהל אזהרות בנושא יכולותיו של ransomware ומצבי התקיפה הספציפיים, אדם מגורה פיצח את הפטיה הצפנה. המשמעות היא שאלפי קורבנות פוטנציאליים יכולים לפענח בבטחה את הקבצים שלהם, לחסוך זמן, כסף והררי תסכול.
מדוע פטיה שונה
כופרה זיהומים בדרך כלל הולכים בדרך ליניארית מה זה Bootkit והאם נמסיה הוא איום אמיתי?האקרים ממשיכים למצוא דרכים לשבש את המערכת שלך, כמו למשל את ערכת האתחול. בואו נסתכל מה זה ערכת אתחול, איך משתנה נמסיס עובד, ונשקול מה תוכלו לעשות כדי להישאר ברורים. קרא עוד . ברגע שמערכת נפגעת, המערכת ransomware סורק את כל המחשב אל תיפול מהונאים: מדריך Ransomware ואיומים אחרים קרא עוד ומתחיל בתהליך ההצפנה. תלוי בגרסת ה- ransomware הימנע מקורבן נופל משלוש הונאות Ransomwareכרגע כמה הונאות בולטות מהכישורים נמצאים במחזור; בוא נעבור על שלושה מההרסניים ביותר, כך שתוכלו לזהות אותם. קרא עוד , מיקומי רשת עשויים להיות מוצפנים. לאחר השלמת תהליך ההצפנה, תוכנת ה- ransomware מעבירה הודעה למשתמש המודיעה להם על אפשרויותיו: לשלם, או להפסיד אל תשלם - איך לנצח Ransomware!תאר לעצמך אם מישהו היה מופיע על מפתן דלתך ואמר, "היי, יש עכברים בבית שלך שלא ידעת עליהם. תן לנו 100 $ ונפטר מהם. "זה Ransomware ... קרא עוד .
וריאציות אחרונות בתוכנות כופר ראו התעלמות מקבצי משתמשים אישיים ובחרו להצפין את טבלת קבצי המאסטר (MFT) של כונן C: מה שהופך למעשה למחשב חסר תועלת.
טבלת קבצים ראשית
פטיה הופצה ברובה קמפיין דוא"ל זדוני.
"הקורבנות יקבלו דוא"ל המותאם להיראות ולקרוא כמו שליח קשור לעסקים של" מבקש "המחפש תפקיד בחברה. זה יציג למשתמשים היפר-קישור למיקום אחסון של Dropbox, שלכאורה יאפשר למשתמש להוריד את קורות החיים של המועמד (CV) של המועמד. "
לאחר ההתקנה, פטיה מתחילה להחליף את רשומת ה- Boot Record (MBR). ה- MBR הוא המידע המאוחסן בסקטור הראשון של הדיסק הקשיח, המכיל את הקוד שמאתר את המחיצה הראשית הפעילה. תהליך ההחלפה מונע את טעינת Windows כרגיל, וגם מונע גישה למצב בטוח.
לאחר שפטיה מחליפה את ה- MBR, היא מצפינה את ה- MFT, קובץ שנמצא במחיצות NTFS המכיל מידע קריטי על כל קובץ אחר בכונן. לאחר מכן פטיה מכריחה הפעלה מחדש של המערכת. באתחול מחדש, המשתמש נתקל בסריקת CHKDSK מזויפת. בעוד שנראה כי הסריקה מבטיחה שלמות נפח, ההפך הוא הנכון. כאשר ה- CHKDSK מסתיים ו- Windows מנסה לטעון, ה- MBR שהשתנה יציג גולגולת ASCII עם אולטימטום לשלם כופר, בדרך כלל בביטקוין.
מחיר ההחלמה עומד על כ 385 $, אם כי זה יכול להשתנות על בסיס שער החליפין של הביטקוין. אם המשתמש מחליט להתעלם מהאזהרה, כופר הביטקוין יוכפל. אם המשתמש ימשיך להתנגד לניסיון הסחיטה, מחבר ה- ransomware של Petya ימחק את מפתח ההצפנה.
משימת האק-פטיה
כאשר בדרך כלל מעצבי תוכנות רנסומפר מקפידות מאוד על בחירת ההצפנה שלהם, המחברת של פטיה "חמקה". מתכנת לא מזוהה הבנתי כיצד לפצח את ההצפנה של פטיה אחרי "ביקור חג הפסחא אצל חמי הכניס אותי לבלגן הזה."
הסדק מסוגל לחשוף את מפתח ההצפנה הדרוש כדי לבטל את נעילת רשומת האתחול המוצפנת, ומשחרר את קבצי מערכת השבייה. כדי להחזיר את השליטה על הקבצים, המשתמשים יצטרכו קודם להסיר את הכונן הקשיח הנגוע מהמחשב ולחבר אותו למחשב עובד אחר. לאחר מכן הם יכולים לחלץ מספר מיתרי נתונים כדי להיכנס לכלי.
חילוץ הנתונים קשה, הדורש כלים וידע מומחים. למרבה המזל, עובד Emsisoft פביאן ווסר יצר כלי מיוחד כדי להקל על בעיה זו, מה שהופך את "הפענוח בפועל ליותר ידידותי למשתמש." אתה יכול למצוא את חולץ סקטור פטיה כאן. הורד ושמור אותו בשולחן העבודה של המחשב המשמש לתיקון.
האם עיתונאים יכולים בבקשה להתחיל להכין שיעורי בית? אני לא אחראי לכך שפטיה יכולה להיות ניתנת לפענוח. אשראי @leo_and_stone.
- פביאן ווסר (@fwosar) 15 באפריל 2016
הכלי של Wosar מחלץ את 512 הביטים הנדרשים לפטי סדק, "החל בסקטור 55 (0x37h) עם קיזוז של 0 ו 8 בתים ללא סקטור מגזרה 54 (0x36) קיזוז: 33 (0x21). " לאחר חילוץ הנתונים, הכלי ימיר אותם לבסיס64 הנחוץ קידוד. לאחר מכן ניתן להזין אותו ל- אתר peta ללא תשלום כופר.
פשוט סיפקתי כלי קטן של קו 50 שגורם לפענוח להיות ידידותי יותר למשתמש.
- פביאן ווסר (@fwosar) 15 באפריל 2016
לאחר שיצרתם את סיסמת הפענוח, רשמו אותה. כעת תצטרך להחליף את הכונן הקשיח ואז לאתחל את המערכת הנגועה. כאשר מופיע מסך הנעילה של Petya אתה יכול להזין את מפתח הפענוח שלך.
הדרכה מפורטת לחילוץ מחרוזת נתונים, הזנת הנתונים שהומרו לאתר ויצירת סיסמת הפענוח ניתן למצוא כאן.
פענוח לכולם?
השילוב של סדק ההצפנה של ליאו-אבן ומחלץ הסקטור של פטיאן ווסר, מפיקים את הקריאה. כל מי שיש לו את הידע הטכני שמחפש פיתרון לקבצים המוצפנים שלו עשוי להיות בסיכוי לחימה להחזיר את השליטה בנתונים שלו.
כעת הפיתרון הופך לפשוט יותר, אותם משתמשים ללא ידע רב טכני עשויים לקחת את שלהם מערכת נגועה בחנות לתיקונים מקומית והודיעה לטכנאים מה צריך לעשות, או לפחות על מה הם מאמינים צריך לעשות.
עם זאת, אפילו כדרך לתיקון זה גרסה מסוימת של ransomware הפכה להרבה יותר קלה, תוכנת ransomware היא עדיין מסיבית, הבעיה המתפתחת כל פעם מאיתנו Ransomware שומר על צמיחה - איך אתה יכול להגן על עצמך? קרא עוד . ולמרות שהמסלול הזה קל יותר למצוא וקל יותר לעקוב אחריו, כותבי תוכנת ה- Ransomware יודעים שיש רוב מכריע של משתמשים שפשוט אין להם שום תקווה לפענח את הקבצים, הסיכוי היחיד שלהם להתאוששות באמצעות קור, קשה, בלתי ניתן לעקוב ביטקוין.
למרות קידודם הראשוני צעד שגוי, אני בטוח שכותבי הפטריות של פטיה לא יושבים בסביבה, מרחמים על עצמם. כעת, לאחר ששיטת הסדק והפענוח הזו צוברת משיכה, הם ככל הנראה עובדים על עדכון הקוד שלהם כדי להשבית את הפיתרון, וסוגרים את הדלת לשחזור נתונים שוב.
האם היית קורבן לתוכנות כופר? האם הצלחת לשחזר את הקבצים שלך, או ששילמת את הכופר? תן לנו לדעת להלן!
גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.
