Приложение-вымогатель Petya взломали

Недавно мы писали о приложении-вымогателе под названием Petya, которое не разменивается по мелочам и вместо отдельных файлов зашифровывает целые жёсткие диски. Для его жертв появилась хорошая новость - двум исследователям удалось взломать программу, после чего они создали сервис и настольное приложение, которые позволят сгенерировать ключ и вернуть свои файлы, не платя выкуп.

Исследователи заметили, что приложение не общается с сервером, так что процесс шифрования выполняется локально. Один из них, пишущий в Твиттере под ником Leo Stone, нашёл алгоритм для взлома приложения. После этого он создал два веб-сайта, на котором жертвы приложения могут получить пароли для дешифрования файлов.

Однако для начала нужно извлечь некоторую информацию о поражённом жёстком диске, что непросто даже для специалистов. К счастью, и эта сложность была устранена в приложении от Emsisoft. Инфицированный жёсткий диск нужно подключить к другому компьютеру под управлением Windows. Приложение сканирует жёсткие диски и автоматически извлекает информацию, нужную для взлома вымогателя.

Когда программа Petya Sector Extractor находит требуемый жёсткий диск, нужно нажать кнопку Copy Sector. Это копирует специальный сектор жёсткого диска в буфер обмена. Далее нужно отправиться на один из двух сайтов и вставить сектор в текстовое поле под названием Base64 encoded 512 bytes verification data.

Далее пользователь возвращается в Petya Sector Extractor и нажимает вторую кнопку под названием Copy Nonce. На сайте полученную информацию нужно вставить в поле поменьше - Base64 encoded 8 bytes nonce. Затем нажимается Submit и алгоритм начинает работать. Получив пароль, нужно вернуть жёсткий диск в его основной компьютер и ввести пароль в нужное поле.