מומחים פיצחו את כופרת Petya ואפשרו פענוח הכונן הקשיח בחינם

Petya הופיעה בחודש שעבר והופצה לחברות בהודעות ספאם שהתחזו לבקשות עבודה. היא בלטה מכופרות הצפנת קבצים אחרות משום שהיא מוחקת את האתחול הראשי של כונן הדיסק הקשיח (MBR), ומותירה אחריה מחשבים נגועים שאין אפשרות לבצע אתחול למערכת ההפעלה שלהם.

התכנית מחליפה את קוד ה-MBR הלגיטימי של הכונן, אשר בדרך כלל מתחיל את מערכת ההפעלה, בקוד שמצפין את טבלת הקבצים הראשיים (MFT) ומראה במקומה מכתב הדורש כופר. MFT הוא קובץ מיוחד באמצעי אחסון מסוג NTFS, שמכיל מידע על כל הקבצים האחרים: שמם, גודלם ומיפויים למגזרי הדיסק הקשיח השונים.

תכני הקבצים של המשתמש אינם מוצפנים בפועל, אבל בלי MFT מערכת ההפעלה כבר לא יודעת איפה הקבצים הללו נמצאים בדיסק. שימוש בכלי שחזור נתונים על מנת לשחזר קבצים עשוי להיות אפשרי, אבל לא מובטח שהשיטה תעבוד בצורה מושלמת, והפתרון גוזל זמן רב.

השיטה עובדת אך נדרש חילוץ

למרבית המזל, שימוש בשיטה זו כבר לא נחוץ, כמו גם תשלום הכופר למחברי Petya. באמצעות שימוש ב-handle leostone באינטרנט המציאו מומחים אלגוריתם שמפצח את המפתח הדרוש כדי לשחזר את MFT ואת כל מה שנפגע מ-Petya. מומחי מחשבים מפורום התמיכה הטכנית הפופולרי BleepingComputer.com אישרו כי השיטה עובדת, אבל דורשת חילוץ מספר נתונים מהכונן הקשיח שנפגע.

פביאן ווסר, מחברת האבטחה Emsisoft, יצר כלי פשוט וחופשי שיכול לעשות את הפעולה המעט מורכבת בעבור נפגעי Petya. עם זאת, מכיוון שהמחשב הנגוע כבר לא יכול לאתחל לתוך Windows, שימוש באפשרות דורש הוצאת הכונן הקשיח המושפע וחיבורו למחשב אחר, שעליו הכלי יכול לרוץ. תחנת עגינה חיצונית, כמו כונן קשיח מבוסס USB, יכולה לשמש לצורך הטיפול.

הנתונים שמחולצים על ידי הכלי חייבים להיות מוזנים לתוך יישום אינטרנט שנוצר על ידי leostone, שתשתמש בו כדי לפצח את המפתח. אז חייב המשתמש להחזיר את הכונן הקשיח הנגוע למחשב המקורי, לאתחל ממנו ולהכניס את המפתח במסך דרישת הכופר שתציג Petya. "לאחר שהכונן הקשיח מפוענח, הכופרה תנחה את המשתמש להפעיל מחדש את המחשב, וכעת הוא אמור לפעול כראוי", כתב לורנס אברמס, מייסד BleepingComputer.com, בפוסט שפרסם בבלוג החברה.