11 апреля 2016

Как разблокировать компьютер от криптовымогателя Petya?

Недавно в сети появилась информация о том, что имеется возможность разблокировать компьютер, пострадавший от шифровальщика Petya, без перечислений вымогаемой суммы денег.
Криптовымогатель оказался не слишком хорошо защищен и пользователь twitter с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.


Что делать?

Шаг первый

Пользователь, Fabian Wosar, создал специальный инструмент, который делает все самостоятельно. Для его работы нужно переставить зараженный диск в другой ПК с Windows OS. Как только это сделано, качаем Petya Sector Extractor (оригинал, зеркало mega.nz) и сохраняем на рабочий стол. Затем выполняем PetyaExtractor.exe. Этот софт сканирует все диски для поиска Petya. Как только обнаруживается зараженный диск, программа начинает второй этап работы.
Полученную информацию нужно загрузить на следующий сайт: https://petya-pay-no-ransom.herokuapp.com. Там будет два текстовых поля, озаглавленных, как Base64 encoded 512 bytes verification data и Base64 encoded 8 bytes nonce. 

Для этого в программе нажимаем кнопку Copy Sector, и вставляем скопированные в буфер данные в поле сайта Base64 encoded 512 bytes verification data.

Потом в программе выбираем кнопку Copy Nonce, и вставляем скопированные данные в Base64 encoded 8 bytes nonce на сайте. 

В итоге должно получиться примерно вот так: 
Для получения пароля расшифровки нажимаем кнопку Submit. Пароль будет генерироваться некоторое время. В итоге получим следующее сообщение:
Записываем пароль, и подключаем зараженный диск обратно. Как только появится окно вируса, вводим свой пароль.

Petya начинает дешифровку тома, и все начинает работать по завершению процесса.

 upd: если сайт не доступен можно использовать зеркало https://petya-pay-no-ransom-mirror1.herokuapp.com: