petya Вирус Petya, нужна помощь с расшифровкой

[Tungus]

Приветствую. Был зашифрован после запуска вредоносного ПО, нужна помощь в расшифровке. Скачать программу Petya Sector Extractor не получается - ничего не происходит при нажатии на ссылку в блоге

[safety]

Программа сохранилась, которую запускали? Можете добавить ее в архиве, с паролем virus?

[Tungus]

К сожалению не могу знать, нет другого ПК с возможностью подключить и проверить. Программа была замаскирована под Process Checker если не ошибаюсь. После запуска, был синий экран смерти, перезагрузка, бесконечное восстановление дисков и затем, после перезагрузки - это окно пети

[safety]

Вот такой пароль.

Вот только как вы его будете вводить, придется попотеть немного

 

Для продолжения нажмите любую клавишу . . .
Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[+] Victim ID: 74N3gd9wG7jXHbPuNpEvs9KdNXRKqWm2ofWsrgQJ4GnYuysbTDYunwLtRf32PtazPWEGRGbmv9rD22A2fyFnT8j2XU
---
[+] Your key   : mjxh╤O╛╡╥╡=U╪B

Изменено 17 часов назад пользователем safety

[Tungus]

Ого, а как сие чудо ввести?)

Я попробовал ввести через Alt+код символа, но при вводе комбинации ничего не происходит 

[safety]

Пробуйте Antipetya_ultimate использовать.

Для Red версии он должен работать, и ключ подберет, вводить его не надо будет.

загрузочную флэшку придется делать на чистой машине.

Изменено 16 часов назад пользователем safety

[Tungus]

Понял. Т.е. можно этот ISO накатить на флешку и запуститься с нее? А не залочит ли петя эту флешку если подключу ее?

[safety]

Нет. petya red уже отработал, отдыхает, ждет кто его победит.

файл iso скачаете, запишите его на флэшку например с помощью программы ultraiso

[Tungus]

Сделал ISO, ввел команду но пишет что на диске петя не найден, попробовал варианты /dev/sda и /dev/sda1 - безрезультатно. Что-то делаю не правильно?

[safety]

Вполне возможно, что это фейковая заставка что представлена на скриншоте.

 

В таком случае надо проверить что там есть на секторах системного диска. т.е. необходимы первые 64 сектора системного диска.

 

Цитата

 

для получения ключа по известному уникальному идентификатору (в данном случае был

который содержится на экране ввода ключа, а так же может быть извлечен из из первых 64 секторов системного диска.

Чтобы извлечь нужные 64сектора диска используем загрузочный Winpe + инструментарий DMDE

DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).

 

 

Изменено 16 часов назад пользователем safety

[safety]

/dev/sda  - это скорее всего ваша флэшка, судя по размеру 15,9Gb

Изменено 15 часов назад пользователем safety

[Tungus]

15 минут назад, safety сказал:

Вполне возможно, что это фейковая заставка что представлена на скриншоте.

 

В таком случае надо проверить что там есть на секторах системного диска. т.е. необходимы первые 64 сектора системного диска.

 

 

Попробую, а есть тема где почитать подробнее про это? И вопрос касаемо DMDE - скачивать версию for console windows x64? 

4 минуты назад, safety сказал:

/dev/sda  - это скорее всего ваша флэшка, судя по размеру 15,9Gb

Да, я просто к тому писал, что диск не детектится почему-то…

[safety]

Можно и GUI версию использовать. Она должна работать без установки, просто распакуете ее в каталоге диска с Winpe.

В первых 64 секторах должна быть примерно такая картинка, потому что реальный Petya извлекает этот идентификатор из первых секторов диска.

 

 

Главное, собрать Winpe каталогом для DMDE, сама программа несложная, там интуитивно должно быть понятно как с ней работать.

Изменено 15 часов назад пользователем safety

[safety]

+ попробуйте еще эту версию antipetya_ultimate

Эта версия у меня датирована чуть позже чем релизная 0.2

 

Изменено 15 часов назад пользователем safety

[Tungus]

11 минут назад, safety сказал:

+ попробуйте еще эту версию antipetya_ultimate

Эта версия у меня датирована чуть позже чем релизная 0.2

 

Я думаю проблема не в версиях. Ни в одной из них не видит мой диск, лишь саму флешку. Хотя вроде все делаю правильно - ISO образ на флешке через rufus, далее запускаю на зараженном ПК и в биос ставлю ее как загрузочную, загружаюсь и пишут команды -> ничего не происходит/не видит зараженный системный диск