加密勒贖軟體Petya肆虐,先偽裝為求職者信,誘騙受害者開啟履歷,再在受害者的電腦中加密硬碟的主開機檔,進而求支付贖金取得解密金鑰,所幸網路上已有高手提供破解方法,讓受害者不需付贖金就能自行產生解密金鑰,救回被加密的主開機檔。
名為Petya的硬碟加密勒贖軟體在肆虐兩周後,有高手製作出解密工具並在網路上公開釋出。這隻勒贖軟體三月底開始流傳而聲名大噪。受害者接到冒充面試者寄來的履歷,在不疑有他情況下下載並開啟後數秒即出現Windows藍色死亡螢幕而當機。等電腦重新開機後,電腦開始貌似Windows磁碟檢查的過程,實際上是Petya正在加密主開機檔(master boot file),導致硬碟無法使用。
接著受害者會看到一個紅色為底的白色骷髏頭像(如上圖),按下按鍵後出現訊息告知用戶檔案遭到加密,要求付款以取得硬碟解密金鑰。如果受害者延遲不付款,一周內贖金就會加倍。
不過所幸有俠義的高手相助。網路上一名為@leostone的專家製作了一項工具並在網路上釋出,宣稱能產生Petya要求解密主開機檔的金鑰密碼,取回被加密的硬碟,「而且不用支付贖金」。
根據DIY電腦論壇bleepingcomputer網頁指出,使用這個密碼產生器前,必須將感染電腦的啟動磁碟取出,連到另一台乾淨的電腦,然後依網頁指示從被加密的硬碟中撈出資料,包括位於sector 55 (0x37h) offset 0(0x0)的512 bytes資料,以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼,然後輸入該作者設立的網頁程式(https://petya-pay-no-ransom.herokuapp.com/或https://petya-pay-no-ransom-mirror1.herokuapp.com/)中取得密碼。
然而一般人可能無法執行上述動作,為此,另一名高手Fabian Wosar又製作了可簡單撈取資料的工具供下載。不過受害者還是需要把被加密的硬碟取出再連到正常運作的Windows電腦。網頁也建議可使用USB硬碟外接盒將硬碟接上電腦。
加密勒贖軟體已成近年最猖獗的電腦界禍患之一,從Mac OS、Windows和Linux幾乎無一倖免。安全界也開始設法提供解藥,例如安全公司Bitdefender不久前才釋出可預防目前主要勒索軟體包括Locky、TeslaCrypt與CTB-Locker的工具。
資料來源:http://www.ithome.com.tw/