Žrtve Petya Ransomware sada mogu da povrate svoje podatke

Verovatno ste svi do sad čuli za Petya Ransomware. Talas, koji je zahvatio oko 64 zemlje do 27. juna 2017. godine, zarazio je otprilike 12.500 kompjutera samo u Ukrajini, napadajući ključne segmente infrastrukture ove zemlje, što je pokazalo koliko su ranjivi sistemi koji su umreženi.

Napadi koji su izazvali najviše posledica ipak su zabeleženi u Velikoj Britaniji, gde su bolnice i klinike morale da otkažu prijem i pregled pacijenata, jer nisu imale pristup kompjuterima.

Ovi napadi su svakako imali ucenjivačku crtu: žrtve bi otvarale zaražene fajlove u e-mejlovima, koji su na prvi pogled izgledali kao da sadrže fakture, poslovne ponude, sigurnosna upozorenja i druge dokumente. Softver bi zatim restartovao uređaj, a na ekranu bi se pojavili zahtevi napadača, sa uputstvima kako i gde da se izvrši uplata da bi se povratili hakovani fajlovi.

Korisnici koji su bili žrtve Petya Ransomware napada ipak imaju sreće, pošto je besplatna alatka kojom će moći da dešifruju svoje fajlove, ukloliko su ih sačuvali, od nedavno postala dostupna.

Tokom 2016. godine kreator Petya virusa, čiji je online alijas Janus, napravio je tri odvojene verzije programa, koji su u anti-virusnoj industriji poznati pod nazivima Red Petya, Green Petya i Goldeneye. U međuvremenu su otkrivene još dve varijante, ali stručnjaci pretpostavljaju da su napravljene od strane nepoznatih hakera, koji nisu imali pristup izvornom Petya kodu, pa su koristili delove koda do kojih su mogli da dođu, a sa ciljem da u njih ubace sopstvene delove za šifrovanje.

Jedna od te dve ‘piratizovane’ verzije je i NotPetya, koja je pogodila kompanije i organizacije u Ukrajini u junu 2017. godine, a druga verzija, poznata pod nazivom PetrWrap, korišćena je za napade koji su se dogodili u martu iste godine.

Novu alatku za dešifrovanje fajlova koji su bili ‘žrtve’ Petya-e napravila je analitičarka internet virusa, karakterističnog online imena Hasherezade, a koja sarađuje sa prodavcem antivirus programa, Malwarebytes. Alatka koristi jedinstveni ključ za varijante Red Petya, Green Petya i Goldeneye, a postala je dostupna početkom jula 2017. godine, te funkcioniše samo na fajlovima koje je napala prva Petya, ali ne i PetrWrap ili NotPetya. “U slučaju da imate backup za hard disk koji je napala Petya, ovo je pravi trenutak da ga ponovo aktivirate i zauvek iz njega isterate virus,” napisala je Hasherezade u postu na Malwarebytes Labs blogu.

Virusni program funkcioniše tako što upisuje svoj kod u deo diska koji sadrži zapis o načinu na koji je disk (ili više njih) podeljen na particije, te koja je od njih aktivna (MBR), a aktivira se kada se sistem pokrene. Svrha ovog koda je da šifruje specijalni fajl, koji sadrži informacije o svim drugim fajlovima koji su sačuvani na particiji (Master FIle Table).

Vraćanje oštećenog MBR-a trebalo bi da bude jednostavno, ali sa ugroženim MFT-om (Master FIle Table) Windows ne bi mogao da pročita fajlove sa diska, budući da je većina njih smeštena u različite sektore. Drugim rečima, operativni sistem bi ‘potpuno oslepeo’.

Alatka za popravku funkcioniše tako što prvo izvuče takozvanu ‘identifikaciju za žrtvu napada’, jedinstveni niz koji je povezan sa glavnom šifrom. Ova identifikacija je neophodna kako bi se povratile sve pojedinačne šifre koje su korišćene da bi se šifrovali fajlovi žrtava napada. Jednom kad korisnici dobiju svoje jedinstvene šifre moći će da download-uju i koriste specijalne programe za dešifrovanje, a programi će se razlikovati u odnosu na to o kojoj se verziji Petya-e radi.

Izvor: forbes.com