先前我們曾報導過「Dropbox成勒索病毒散佈溫床 Petya讓你的電腦連開機也開不了」,裡面提到現在有勒索病毒Petya使用Dropbox空間來散布病毒,現在有國外的資訊安全單位推出了Petya專用的解密軟體,避免妳中招了求助無門。
國外資訊安全單位Virus Guides日前針對勒索病毒Petya,整理了國外網友(leostone與某位善心人士)推出的專用的解鎖軟體。由於Petya的特色是在執行時,會先將電腦的防毒軟體停用,接著才下載勒索病毒本體,同時讓電腦當機,當使用者不疑有他重新開機時,其實就是讓電腦被Petya加密開機磁區。
而國外網友的概念,就是當使用者發現遭到Petya感染而當機時,千萬不要重新開機。使用者需要將遭到Petya勒索的電腦硬碟拆下來,透過外接盒與另外一台沒有中獎的電腦連接,使用乾淨的電腦下載Petya專用的解密軟體,讓軟體提取出硬碟的一些資料(主要是sector 55 (0x37h) offset 0(0x0)的512 bytes資料,以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼。)並將解密軟體提取出的編碼資料複製到解密網站上(網站1/網站2),就可以取得你電腦的Petya解密金鑰,這時候只要將硬碟裝回原本的電腦上,輸入剛剛取得的解密金鑰就可以將你的電腦回復原本的狀態了。
↑當使用者發現電腦遭到Petya感染而當機時,不要重開機,直接把硬碟拔起來用外接盒接到其到電腦上。
↑接著在乾淨的電腦上下載執行專用的解密軟體,並且將顯示出來的編碼複製起來。
↑接著到解密網站上貼上剛剛複製起來的編碼,按下最下面的送出。
↑這樣你就能取得你的Petya的解密金鑰。
↑接著在把硬碟接回原本的電腦中,輸入剛剛的解密金鑰,照理說你的電腦就可以順利的解密了。
最後還是重申一下,本套軟體僅對勒索病毒Petya有用,對其他勒索病毒並沒有用。有鑑於勒索病毒日新月異、種類繁多、變種軟體更多,往後勒索病毒相關文章,都會將一些預防的方式與解鎖的方式列在文章最後面,並且持續的不斷更新,希望以此能夠幫助一些人。
預防勒索病毒
把檔案放在保險箱中 用《iPC 2016》避免勒索病毒的侵襲吧
預防勝於治療 歐洲防毒公司推出CryptoLocker勒索病毒疫苗
解鎖勒索病毒
CrypBoss (包含衍生的HydraCrypt與UmbreCrypt)
CoinVault與Bitcryptor