У Petya виявлена також спеціальна схема маскування для приховування активності. Спочатку кріптовимогатель запитує у користувача активацію UAC, маскуючись під легальні додатки. Як тільки розширені привілеї отримані, шкідливе ПЗ починає діяти. Як тільки тому зашифрований, кріптовимогатель починає вимагати у користувача гроші, причому на виплату «викупу» дається певний термін. Якщо користувач не виплачує кошти за цей час, сума подвоюється. «Поле чудес», та й годі.
-amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; lt; span id = "selection-marker-1" class = "redactor-selection-marker" -amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; gt; -amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; lt; / span-amp; amp; amp; amp; amp; amp; amp; amp; amp; amp; gt;
Але кріптовимогатель виявився сам по собі не дуже добре захищений. Користувач Твіттера з ніком leostone розробив генератор ключів для Petya, який дозволяє зняти шифрування дисків. Ключ індивідуальний, і на підбір йде приблизно 7 секунд.
Цей же користувач створив сайт, який генерує ключі для користувачів, чиї ПК постраждали через Petya. Для отримання ключа необхідно надати інформацію з зараженого диска.
Що потрібно робити?
Заражений носій потрібно вставити в інший ПК і отримати певні дані з певних секторів зараженого жорсткого диска. Ці дані потім потрібно прогнати через Base64 декодер і відправити на сайт для обробки.
Звичайно, це не найпростіший спосіб, і для багатьох користувачів він може бути взагалі нездійсненним. Але вихід є. Інший користувач, Fabian Wosar, створив спеціальний інструмент, який робить все самостійно. Для його роботи потрібно переставити заражений диск в інший ПК з Windows OS. Як тільки це зроблено, качаємо Petya Sector Extractor і зберігаємо на робочий стіл. Потім виконуємо PetyaExtractor.exe. Цей софт сканує всі диски для пошуку Petya. Як тільки виявляється заражений диск, програма починає другий етап роботи.
Витягнуту інформацію потрібно завантажити на сайт, вказаний вище. Там буде два текстових поля, озаглавлених, як Base64 encoded 512 bytes verification data і Base64 encoded 8 bytes nonce. Для того, щоб отримати ключ, потрібно ввести дані, витягнуті програмою, в ці два поля.
Якщо все зроблено правильно, має з'явитися ось таке вікно:
Для отримання пароля розшифровки натискаємо кнопку Submit. Пароль буде генеруватися близько хвилини.
Записуємо пароль, і підключаємо заражений диск назад. Як тільки з'явиться вікно вірусу, вводимо свій пароль.
Petya починає дешифрування томи, і все починає працювати по завершенню процесу.
Нагадаємо, раніше СБУ виклала в загальний доступ докладні технічні поради щодо захисту комп'ютерів від кібератак вірусу-здирника.