Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Ransomware Petya - czy ktos pomoze w odszyfrowaniu

pawel0x81 03 Wrz 2018 17:05 201 6
  • #1 03 Wrz 2018 17:05
    pawel0x81
    Poziom 6  

    Komputer rodzicow zostal zainfekowany przez wirusa Petya. Wyswietla sie komunikat taki jak na zdjeciu. Czy jest mozliwosc uzyskania klucza bez placenia okupu? Przepraszam za brak polskich znakow.

    0 6
  • #2 03 Wrz 2018 17:49
    sylvi91
    Poziom 15  

    pawel0x81 napisał:
    Komputer rodzicow zostal zainfekowany przez wirusa Petya. Wyswietla sie komunikat taki jak na zdjeciu. Czy jest mozliwosc uzyskania klucza bez placenia okupu? Przepraszam za brak polskich znakow.

    Cześć. Nigdy nie miałem z tym styczności. Nie wiem czy są jakieś klucze.
    Z tego co czytam, to ten wirus atakuje MBR na dysku i uniemożliwia zabootowanie systemu.
    Więc lepiej pomyśl nad tym aby przygotować sobie jakiś nośnik bootowalny z Linuxem na pokładzie.
    Wtedy w BIOS/UEFI ustawisz, że chcesz bootować z płyty lub pendrive.
    W takich zestawach linuxowych jak Parted Magic są narzedzia do naprawy dysku.
    Można by wtedy próbować nadpisać MBR i może to wirusa zablokuje i nie uruchomi się.

    0
  • #3 03 Wrz 2018 17:51
    Kraniec_Internetów
    Poziom 40  

    Czy na komputerze masz ważne dane które koniecznie musisz odzyskać? Jeżeli nie, to po prostu pobierz MHDD na pendrive i wyzeruj dysk. Jeżeli zaś są tam ważne dane, to może i można spróbować...
    Z tego co widzę najnowsza wersja Peettyi szyfruje tylko MBR, czyli komputer traci jedynie nazwy plików i miejsca w których się znajdują, natomiast fizycznie pliki nie powinny być uszkodzone. Teoretycznie Recuva powinna sobie z tym poradzić.
    Jak trafi tu ktoś mądrzejszy ode mnie - czy dałoby radę zrobić kopię posektorową nawet części dysku, zapisaną w taki sposób by Recuva miała szanse go odczytać? Jak coś mam pełną wersję na komputerze.

    0
  • #4 03 Wrz 2018 19:37
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Z tego co można wyczytać szyfruje nie tylko MBR ale i MFT a dodatkowo nie wiem, czy nie i dane. Jakby szyfrował tylko MBR to nikt by nie zapłacił okupu, bo odzysk byłby dziecinnie prosty. Im dłużej działa zainfekowany komputer tym pewnie więcej danych zostanie zaszyfrowanych. Prawda jest taka, że ten wirus wywołuje BSOD i dopiero przy ponownym uruchomieniu szyfruje pliki imitując niby sprawdzanie dysku. Najlepsze co można zrobić wtedy, gdy uruchamia się ponownie PC to pozbawić PC zasilania by zapobiec utracie danych (przeciwnie niż na screenie po takim błędzie - utratę danych powoduje pozostawienie zasilania a nie odłączenie). Po zaszyfrowaniu tylko MFT dane też są do odzyskania (przynajmniej w części).
    P.S. Niestety Recuva bez MFT nie odzyska plików (przynajmniej jeszcze rok temu nie dawała rady), ale DMDE już tak.

    0
  • #5 03 Wrz 2018 19:51
    Kraniec_Internetów
    Poziom 40  

    mati211p napisał:
    MFT a dodatkowo nie wiem, czy nie i dane

    Raczej nie. Szyfrowanie odbywa się zbyt szybko. Dlatego zakładam, że są nienaruszone, Pytanie czy jest program mogący na podstawie ciągu bitów odczytanych z dysku dojść jaki plik akurat czyta, jak duży jest ten plik i jakie ma rozszerzenie.

    0
  • #6 03 Wrz 2018 19:59
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Kraniec_Internetów napisał:
    mati211p napisał:
    MFT a dodatkowo nie wiem, czy nie i dane

    Raczej nie. Szyfrowanie odbywa się zbyt szybko. Dlatego zakładam, że są nienaruszone, Pytanie czy jest program mogący na podstawie ciągu bitów odczytanych z dysku dojść jaki plik akurat czyta, jak duży jest ten plik i jakie ma rozszerzenie.


    MFT szyfruje na pewno (to tylko średnio 50MB -300MB danych, do jakichś 1,8GB max (większego nie widziałem) w zależności od ilości plików). Rzekomo jest jeszcze jakiś drugi etap szyfrowania, ale nie wiem, co on oznacza, toteż napisałem, że być może i dane. Gorzej jak szyfruje i początki plików (zna położenie każdego pliku na dysku dzięki $MFT, a pliku o znanym rozszerzeniu i zaszyfrowanym pierwszym sektorze już nie znajdzie program do odzyskiwania). Program nie odczyta jaki plik czyta, odczyta natomiast jego rozszerzenie - o ile jest typowe i znane. Z tym jak duży jest plik może być już problem, ponadto istnieje fragmentacja - niestety to działa na naszą niekorzyść.

    0