четверг, 9 июня 2016 г.

Petya Decryptor

Petya Decryptor 

Инструкция по использованию

Для начала надо взять зашифрованный диск с зараженного компьютера и подключите его к компьютеру с ОС Windows, который работает в нормальном режиме. Если у зараженного компьютера несколько жестких дисков, вы должны взять только загрузочный диск, на котором установлена система, обычно это диск C:\. Другие способы подключения и описания опускаем.

После того, как подключите зашифрованный диск к рабочему компьютеру и загрузите ОС Windows, скачайте Petya Sector Extractor и сохраните его на Рабочем столе. 


Скачать Petya Sector Extractor можно по ссылке в следующей статьеДля удобства ссылка находится в тексте, картинка в помощь. 


Почему я не даю здесь прямую ссылку? Она была, но из-за особенностей файла экстрактора антивирусные движки могут обнаружить в нем "вирус". Это специальный инструмент, потому все детекты ошибочны.  Технологии несовершенны, поэтому я убрал прямую ссылку и заменил её на картинку в тексте. Нет другого способа помочь в этой проблеме. 

Распакуйте архив в папку с тем же названием и запустите файл PetyaExtractor.exe. После запуска он просканирует все съемные и несъемные диски в поиске тех, которые содержат bootcode Petya Ransomware. Когда он обнаружит диск, то автоматически выберет его и отобразит экран, как показано ниже. 

Если диск, скомпрометированный Petya, не будет найдет, то вы увидите соответствующее сообщение (см. рисунок ниже).

Теперь перейдите на сайт PETYA-PAY-NO-RANSOM. На этом сайте вы увидите два текстовых поля Base64 512 и Base64 8 bytes. Чтобы сгенерировать ключ дешифрования, нужно ввести данные, извлеченные из Petya Sector Extractor в эти текстовые поля.

Используйте кнопку Copy Sector для копирования 512 byte и вставьте в текстовое поле "Base64 encoded 512 bytes verification data".
Используйте кнопку Copy Nonce для копирования 8 bytes и вставьте в текстовое поле "Base64 encoded 8 bytes nonce".

Для этого установите курсор в каждое поле ввода и вставьте код командой из контекстного меню, или используйте комбинацию клавиш Ctrl+V для вставки текста из буфера обмена.

Когда вы закончите ввод данных в текстовых полях, это будет выглядеть следующим образом (картинка ниже слева). Для генерации пароля дешифрования нажмите на кнопку "Submit". Этот процесс займёт около минуты, в результате будет показан пароль, см. рисунок ниже.

Запишите этот пароль и подключите зашифрованный жёсткий диск обратно в исходный компьютер. Включите заражённый компьютер и, когда увидите блокировку экрана Petya, введите сгенерированный пароль. Он будет принят и вымогатель начнёт расшифровку жёсткого диска.

После того, как жёсткий диск будет расшифрован, вам предложат перезагрузить компьютер и он загрузится уже нормально. 


Удачной дешифровки! 

© Amigo-A (Andrew Ivanov): All blog articles.