圖片來源: 

Malwarebytes Labs

名為Petya的硬碟加密勒贖軟體在肆虐兩周後,有高手製作出解密工具並在網路上公開釋出。
 
這隻勒贖軟體三月底開始流傳而聲名大噪。受害者接到冒充面試者寄來的履歷,在不疑有他情況下下載並開啟後數秒即出現Windows藍色死亡螢幕而當機。等電腦重新開機後,電腦開始貌似Windows磁碟檢查的過程,實際上是Petya正在加密主開機檔(master boot file),導致硬碟無法使用。
 
接著受害者會看到一個紅色為底的白色骷髏頭像(如上圖),按下按鍵後出現訊息告知用戶檔案遭到加密,要求付款以取得硬碟解密金鑰。如果受害者延遲不付款,一周內贖金就會加倍。
 
不過所幸有俠義的高手相助。網路上一名為@leostone的專家製作了一項工具並在網路上釋出,宣稱能產生Petya要求解密主開機檔的金鑰密碼,取回被加密的硬碟,「而且不用支付贖金」。

 

根據DIY電腦論壇bleepingcomputer網頁指出,使用這個密碼產生器前,必須將感染電腦的啟動磁碟取出,連到另一台乾淨的電腦,然後依網頁指示從被加密的硬碟中撈出資料,包括位於sector 55 (0x37h) offset 0(0x0)的512 bytes資料,以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼,然後輸入該作者設立的網頁程式(https://petya-pay-no-ransom.herokuapp.com/https://petya-pay-no-ransom-mirror1.herokuapp.com/)中取得密碼。
 
然而一般人可能無法執行上述動作,為此,另一名高手Fabian Wosar又製作了可簡單撈取資料的工具供下載。不過受害者還是需要把被加密的硬碟取出再連到正常運作的Windows電腦。網頁也建議可使用USB硬碟外接盒將硬碟接上電腦。
 
加密勒贖軟體已成近年最猖獗的電腦界禍患之一,從Mac OS、Windows和Linux幾乎無一倖免。安全界也開始設法提供解藥,例如安全公司Bitdefender不久前才釋出可預防目前主要勒索軟體包括Locky、TeslaCrypt與CTB-Locker的工具。

 

 

 


Advertisement

更多 iThome相關內容