近日,破坏力极强的加密磁盘进而敲诈的木马Petya迎来克星。据外媒报道,国外安全人员针对此木马开发了密码破解工具,在不支付赎金的情况下能够获取绝大部分解密密码,并成功将被不法分子加密的磁盘还原正常。
据哈勃分析系统(https://habo.qq.com/)进行测试,想要破解被不法分子加密的硬盘只需要六步:
一,先将被加密的硬盘从受害电脑上取下,接入一个能正常运行的电脑。
二,在新电脑上运行如下工具:http://download.bleepingcomputer.com/fabian-wosar/PetyaExtractor.zip ,使用此工具获取硬盘中必要的解密信息。
图1:破解工具安装界面
三,登录网站:https://petya-pay-no-ransom.herokuapp.com/ 或 https://petya-pay-no-ransom-mirror1.herokuapp.com/ ,使用上一步工具中的按钮“Copy Sector”和“Copy Nonce”,将复制出的内容分别粘贴到网站的对应文本框中,然后点击页面上的“Submit”按钮。
图2:解密数据过程截图
四,等待网站给出破解结果。绝大部分密码可以在30秒内破解出来,但是不排除部分情况下有可能破解失败。
五,如果上一步得到了有效的密码,将硬盘重新接入到受害电脑上,开机并等待出现输入key的敲诈画面,并输入上一步中得到的密码,然后等待木马自动恢复硬盘数据。
图3:输入破解的密码
六、当屏幕上提示“Please reboot your computer!”时,即可重启电脑,这时硬盘解密已经完成,可以正常进入操作系统并使用。
图4:出现上述字样即完成破解
据了解,敲诈类木马Petya特点是首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,最后通过匿名网络索取比特币。此前,哈勃分析系统(https://habo.qq.com/)已经获取到了木马样本,拆解整个敲诈过程对用户提出警示和提醒。目前,上述破解文件经过哈勃分析系统检测均安全,不幸中招的用户可以放心使用。