2. radostinalassa
3. zahariada
4. mt46
5. varg1
6. leonleonovpom2
7. wonder
8. sparotok
9. kvg55
10. planinitenabulgaria
11. rosiela
12. bven
13. apollon
14. hadjito
2. geraltofrivia
3. radostinalassa
4. lamb
5. hadjito
6. simonata
7. metaloobrabotka
8. djani
9. iw69
10. rosiela
Petya използва специален метод за скриване на своята активност. Рансъмуерът най-напред иска от потребителите активирането на UAC, като се представя за легално приложение. След като са получени по-високите права, вирусът започва да действа. След като дисковият дял е криптиран, рансъмуерът иска паричен откуп от потребителя и дава кратък срок за набавяне на парите. Ако откупът не бъде платен в указания срок, исканата сума се удвоява.
Оказа се, че самият рансъмуер не е много добре защитен. Потребител на Twitter с акаунт leostone създаде генератор на ключове за Petya, с които криптираните дискове могат да се декриптират. Ключът е индивидуален и се генерира за около 7 секунди.
Същият потребител създаде и уеб сайт, който генерира ключове за потребителите, компютрите на които са заключени от Petya.
МетодикаЗаразеният диск трябва да се извади и да се постави в друг компютър, а необходимите данни се прочитат от точно определени сектори на диска. Тези данни трябва да минат чрез Base64 декодер и да се изпратят в сайта за обработка.
Това не е много лесен начин и за много потребители може да се окаже невъзможен. Но изход има.
Друг потребител, Fabian Wosar, създаде своя програма, която върши повечето от изброените по-горе неща, самостоятелно. И тук се налага заразеният диск да се премести на друг компютър с работеща ОС Windows. След това трябва да се изтегли и стартира програмата Petya Sector Extractor, която сканира всички дискове в системата за наличието на Petya. Ако бъде открит заразен диск, програмата автоматично започва втория етап от своята работа.
В крайна сметка се получава информация, която трябва да бъде качена в същия сайт. В сайта има две текстови полета с имена Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. За да се получи декриптиращия ключ е необходимо да се въведат данните, извлечени от програмата, в тези две полета.
Чрез бутона Copy Sector се копират данните за полето Base64 encoded 512 bytes verification data, а чрез бутона Copy Nonce – за полето Base64 encoded 8 bytes.
Ако всичко е правилно, ще видим следния програмен прозорец:
За получаването на ключа трябва да кликнем върху Submit. Паролата се генерира за около една минута.
Записваме някъде паролата, връщаме диска на мястото си и след като се появи прозореца на вируса, въвеждаме тази парола.
Petya започва да декриптира дисковия дял и след приключването, всички програми и файлове се връщат по местата си.
Вижте повече: https://www.kaldata.com/it-%d0%bd%d0%be%d0%b2%d0%b8%d0%bd%d0%b8/%d0%b5%d1%82%d0%be-%d0%ba%d0%b0%d0%ba-%d1%81%d0%b0%d0%bc%d0%b8-%d0%bc%d0%be%d0%b6%d0%b5%d0%bc-%d0%b4%d0%b0-%d0%b3%d0%b5%d0%bd%d0%b5%d1%80%d0%b8%d1%80%d0%b0%d0%bc%d0%b5-%d0%b4%d0%b5%d0%ba%d1%80%d0%b8-252090.html
Енергетиката на древния град в картината...
И как се достигна до чушкопекът И можеш...