Специалисты взломали шифрование Petya и CryptoHost — HackZona.Ru

Сотрудники сразу нескольк-их компаний сообщили об уничтожении шифр-ия вирусов Petya и CryptoHost

Специалисты взломали шифрование Petya и CryptoHost

Сотрудники сразу нескольк-их компаний сообщили об уничтожении шифр-ия вирусов Petya и CryptoHost. Потерпевшим от рук злоумышленников-владельцев этих вредоносного ПО более не нужно выплачивать деньги последним потому как — найден способ для расшифровывания файлов.

CryptoHost. Особенностью данного «червячка» является то, что он не обычно зашифровывает файлы, а запаковывает выборочные некоторые виды файлов в рар-архив, на который устанавливается пароль. Всего насчитывается 34вида файлов, на которые ведёт охоту CryptoHost. В тот момент, когда все нужные файлы с устройства запаковываются под пароль и помещаются в папку C:\Users\[username]\AppData\Roaming — вредонос отсылает владельцу устройства вымогательство с требованием заплатить 0,33биткоина (что равно около 140долларов). Причём, сам CryptoHostне имеет никаких серверов управления, он настроен так, что через заданные периоды времени осуществляют проверку заплатился выкуп или нет.

На самом деле, оказывается, что применялась очень простенький метод создания паролей. CryptoHostприменяет для генерации SHA1 хешаИД процессора владельца устройства, серийный№ материнки и №диска С:\. Образованный таким образом хеш уже вставляется на место имени самого рар-архива и служит для создания самого пароля к этому рар-архиву. Проще говоря, если предположим рар-архив находится в папке C:\Users\[username]\AppData\Roaming, то папка имела название 1234567890ABCDEF, а псевдоним владельца — Nart, то pass от архива будет 1234567890ABCDEFNart.

Дабы вытащить информацию из архива, нужно будет и удалить процесс в системе со следами CryptoHostпутём Диспетчер задач — > cryptohost.exe-> Остановить. После чего уже можно приступать к распаковке самих архивов. Также для удаления вредоноса можно воспользоваться антивирусами — фактически они уже все могут опозновать и устранять его.

Petya. Особенностью данного «червяка» является то, что он не обычно зашифровывает файлы, а не прекращая работу ПК блокирует доступ к информации на жестком диске владельца устройства. На самом деле, оказывается что, зловред заходит в MasterBoot Record, не даёт загружаться системе и зашифровывает MasterFile Table. Исследователь, который взломал этот малварь пожелал остаться скрытым. Известно лишь то, что ему это удалось по средством использования генетических алгоритмов.

Нравится
Не нравится
01:32

Комментарии

Нет комментариев. Ваш будет первым!