エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。
エフセキュアブログ : Petya:ディスク暗号化ランサムウェアより抜粋
しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya mission accomplished!!!)
もはやPetyaに身代金を支払う必要はありませんし、デバッガを使う必要もありません。
復旧までの道のりを簡単に紹介します。
2. ディスク暗号化中の時間稼ぎ用偽メッセージ
3. 再起動後の画面
4. 身代金支払へ誘導するメッセージ
感染した端末のHDDを別の作業用マシンへ接続し、Petya Sector Extractorというツールを実行します。
「Sector」と「Nonce」をコピーアンドペーストできるようになります。
2. キーを計算
「Sector」と「Nonce」をPETYA-PAY-NO-RANSOMに入力します。
2. 復号終了時
3. 再起動後、復旧完了
アンチウイルスベンダー各社でさえ不可能だと判断したことに挑戦し、不可能を可能にする姿勢はまさにトップガンですね。
エフセキュアブログ : Petya:ディスク暗号化ランサムウェアより抜粋
サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない。皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。
しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya mission accomplished!!!)
もはやPetyaに身代金を支払う必要はありませんし、デバッガを使う必要もありません。
復旧までの道のりを簡単に紹介します。
感染時の様子
1. マルウェア実行時2. ディスク暗号化中の時間稼ぎ用偽メッセージ
3. 再起動後の画面
4. 身代金支払へ誘導するメッセージ
復旧作業
1. キーを計算するためのデータを感染HDDから抽出感染した端末のHDDを別の作業用マシンへ接続し、Petya Sector Extractorというツールを実行します。
「Sector」と「Nonce」をコピーアンドペーストできるようになります。
2. キーを計算
「Sector」と「Nonce」をPETYA-PAY-NO-RANSOMに入力します。
復旧時の様子
1. 正しいキーを入力した直後2. 復号終了時
3. 再起動後、復旧完了
アンチウイルスベンダー各社でさえ不可能だと判断したことに挑戦し、不可能を可能にする姿勢はまさにトップガンですね。