Come recuperare i dati criptati dal ransomware Petya

Se siete stati infettati dal ransomware Petya, potrebbe tornarvi utile l’algoritmo creato da leostone, in grado di generare una password capace di annullare il lavoro fatto da Petya.

Attenzione: se avete scaricato l’eseguibile e non avete ancora riavviato il pc, potreste cavarvela riavviando il pc con una qualche distribuzione live oppure staccando il disco ed attaccarlo tramite usb ad un altro pc. Nel caso in cui invece abbiate già riavviato il pc e vi troviate di fronte alla schermata di Petya, allora l’infezione è già avvenuta ed occorre fare qualche lavoro ulteriore.

Se avete già riavviato, invece, l’infezione è avvenuta ma vi può venire in soccorso Leostone, il quale ha pubblicato un sito attraverso cui fornire alcune informazioni riguardo al disco infettato ed ottenere la chiave di decifratura, da inserire poi nella schermata di richiesta di Petya. [Nel caso il sito fosse giù potete provare anche questo mirror]
Attenzione: se avete già riavviato e siete già stati infettati, non tentate di lanciare un comando FIXMBR. Windows non sarebbe in grado di portarlo a termine in maniera corretta (l’MBR è cifrata….) e vi chiederebbe di usare utility del check del disco, che andrebbero a compromettere ulteriormente la situazione.

Tornando a noi, i dati richiesti da Leostone sono molto specifici e si possono estrarre una volta che si è attaccato il disco ad un altro pc. Occorre estrarre:

512 byte dal settore 55 (0x37) con offset 0 (0x00)
8 byte nonce dal settore 54 (0x36) con offset 33 (0x21).

I dati ottenuti devono essere convertiti in Base64 e sottomessi al sito.
Sul sito sono presenti due box, con la descrizione, quindi non potete sbagliare.

Dopo aver cliccato sul pulsante Submit parte la procedura – della durata anche di alcuni minuti – terminata la quale viene mostrata la password trovata. Questa è la password da inserire nella schermata di Petya, per attivare la decryption e decifrare i dati.

E’ anche presente un pulsante per una donazione, nel caso aveste voglia di ringraziarlo.

Staccate quindi il disco, rimettetelo al suo posto, riavviate e nella schermata di Petya inserite la password trovata prima e tutto dovrebbe riavviarsi normalmente.

Fonti:

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Lascia un commento Annulla risposta