先前我们曾报导过"Dropbox成勒索病毒散布温床 Petya让你的电脑连开机也开不了",里面提到现在有勒索病毒Petya使用Dropbox空间来散布病毒,现在有国外的资讯安全单位推出了Petya专用的解密软件,避免你中招了求助无门。
国外资讯安全单位Virus Guides日前针对勒索病毒Petya,整理了国外网友(leostone与某位善心人士)推出的专用的解锁软件。由于Petya的特色是在执行时,会先将电脑的防毒软件停用,接着才下载勒索病毒本体,同时让电脑当机,当使用者不疑有他重新开机时,其实就是让电脑被Petya加密开机磁区。
而国外网友的概念,就是当使用者发现遭到Petya感染而当机时,千万不要重新开机。使用者需要将遭到Petya勒索的电脑硬盘拆下来,透过外接盒与另外一台没有中奖的电脑连接,使用干净的电脑下载Petya专用的解密软件,让软件提取出硬盘的一些资料(主要是sector 55 (0x37h) offset 0(0x0)的512 bytes资料,以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。这些资料必须转成Base64编码。)并将解密软件提取出的编码资料复制到解密网站上(网站1/网站2),就可以取得你电脑的Petya解密金钥,这时候只要将硬盘装回原本的电脑上,输入刚刚取得的解密金钥就可以将你的电脑回复原本的状态了。
↑当使用者发现电脑遭到Petya感染而当机时,不要重开机,直接把硬盘拔起来用外接盒接到其到电脑上。
↑接着在干净的电脑上下载执行专用的解密软件,并且将显示出来的编码复制起来。
↑接着到解密网站上贴上刚刚复制起来的编码,按下最下面的送出。
↑这样你就能取得你的Petya的解密金钥。
↑接着在把硬盘接回原本的电脑中,输入刚刚的解密金钥,照理说你的电脑就可以顺利的解密了。
最后还是重申一下,本套软件仅对勒索病毒Petya有用,对其他勒索病毒并没有用。有鉴于勒索病毒日新月异、种类繁多、变种软件更多,往后勒索病毒相关文章,都会将一些预防的方式与解锁的方式列在文章最后面,并且持续的不断更新,希望以此能够帮助一些人。
预防勒索病毒
PTT神人辈出 乡民撰写万用侦测勒索病毒脚本
把档案放在保险箱中 用《iPC 2016》避免勒索病毒的侵袭吧
预防胜于治疗 欧洲防毒公司推出CryptoLocker勒索病毒疫苗
解锁勒索病毒
CrypBoss (包含衍生的HydraCrypt与UmbreCrypt)
勒索病毒可能有解 善心人士制作还原加密金钥工具
CoinVault与Bitcryptor
电脑中了勒索病毒无解吗? 先试试看卡巴斯基的解密工具
