Objavljeno: 13.4.2016 05:00

Zlomili izsiljevalsko Petyo

Izsiljevalski virus Petya, ki smo si ga zapomnili, ker se ne zadovolji le z uporabnikovimi datotekami, temveč šifrira kar zagonski sektor in glavno datotečno tabelo na disko, je premagan. Za zdaj še anonimni samaritan je na internetu objavil orodje, ki nam izračuna geslo za odklep podatkov. Algoritem potrebuje nekaj podatkov z diska, zato ga moramo prestaviti v drug računalnik in prebrati s posebnimi orodji.

Petya se namreč naseli v zagonski sektor, potem pa ob zagonu šifrira tabelo MFT na particijah z datotečnim sistemom NTFS, zaradi česar postanejo vse datoteke nedosegljive. Sicer niso šifrirane, a operacijski sistem ne ve, kje jih lahko najde. Ob nadaljnjih zagon se zato sistem ne zažene, računalnik pa izriše rdeče ozadje z lobanjo, ki od nas zahteva plačilo 0,9 bitcoina za odklep podatkov.

Izkaže se, da to ni potrebno. Če disk prestavimo v drug računalnik, kjer preberemo 512 bajtov od sektorja 55 dalje ter osem bajtov s sektorja 54 in jih vpišemo na spletni strani, ki jo je postavil raziskovalec Leo Stone, dobimo v nekaj sekundah ključ. Tega potem vpišemo ob zagonu, ko smo disk seveda premaknili nazaj v prvotni računalnik. To sproži odklep datotek.

Petya je še ena izmed redkih zgodb, ki so se končale pozitivno. Še vedno pa velja, da večine izsiljevalskih virusov raziskovalci ne zlomijo. Zaradi tega se velja pred njimi zaščititi z varnostnimi kopijami.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji