petya Вирус Petya, нужна помощь с расшифровкой

[Tungus]

30 минут назад, safety сказал:

Можно и GUI версию использовать. Она должна работать без установки, просто распакуете ее в каталоге диска с Winpe.

В первых 64 секторах должна быть примерно такая картинка, потому что реальный Petya извлекает этот идентификатор из первых секторов диска.

 

↓

 

Главное, собрать Winpe каталогом для DMDE, сама программа несложная, там интуитивно должно быть понятно как с ней работать.

Проще говоря мне GUI версию надо закинуть в папку где лежит winpe и ADK, далее через команду making media создать iso и затем сделать установочную флешку на основе этого ISO?

[safety]

Все таки, пробуйте последнюю версию *ultimate, помню что были какие то проблемы, затем разработчик исправила ошибку, но было это давно.Почти 6 лет назад.

На виртуалке у меня этот загрузочый диск работает. Проверил сейчас.

 

 

единственно, это не даст нам автоматической расшифровки, просто мы увидим, находится ли ключ или нет.

Так же проверьте вначале через команду  (здесь малая l, а не единица)

fdisk -l

какие диски видятся с загрузочного диска.

-----------

Если это не поможет, есть еще вариант с готовым загрузочным WinPe, где есть WinHex, но тоже надо смотреть в Winhex после запуска, как скопировать первые 64 сектора системного диска, если он будет виден, в файл *.bin. и затем этот файл поместить здесь, будем смотреть есть ли там нужная нам инфо, или нет.

 

Если и это не поможет, значит нужно искать сэмпл,т.е. откуда вы его скачали. Для анализа.

 

 

 

 

 

 

Изменено 13 часов назад пользователем safety

[Tungus]

8 минут назад, safety сказал:

Все таки, пробуйте последнюю версию *ultimate, помню что были какие то проблемы, затем разработчик исправила ошибку, но было это давно.Почти 6 лет назад.

На виртуалке у меня этот загрузочый диск работает. Проверил сейчас.

 

↓

 

единственно, это не даст нам автоматической расшифровки, просто мы увидим, находится ли ключ или нет.

Так же проверьте вначале через команду  (здесь малая l, а не единица)

fdisk -l

какие диски видятся с загрузочного диска.

-----------

Если это не поможет, есть еще вариант с готовым загрузочным WinPe, где есть WinHex, но тоже надо смотреть в Winhex после запуска, как скопировать первые 64 сектора системного диска, если он будет виден в файл *.bin. и затем этот файл поместить здесь, будем смотреть есть ли там нужная нам инфо, или нет.

 

 

 

 

 

 

 

 

Попробовал новую версию - все те же проблемы, не видит другие диски кроме самой флешки.

[safety]

Если это не поможет, есть еще вариант с готовым загрузочным WinPe, где есть WinHex....

[Tungus]

24 минуты назад, safety сказал:

Если это не поможет, есть еще вариант с готовым загрузочным WinPe, где есть WinHex....

Накатываю его. Как использовать WinHex? Погуглив вижу что там через GUI, но тут проблема - у меня при запуске загрузочной флешки открывается консолька с WinPe. Т.е. мне нужно руками найти путь к EXE WinHex?

 

Пардон, не тот образ запускал. Вот запустил нужный образ. Куда жать теперь?)

[safety]

Там можно окно с uVS свернуть, должен открыться far (менеджер файлов), проверьте в фаре будет виден проблемный диск или нет. Потом найдете на загрузочном диске X каталог USERAPP, там будет папка с Winhex, оттуда можно будет запустить winhex. Проблема здесь только в том, что он копирует всего один первый сектор, но можно будет выполнить поиск, например http, есть там на диске или нет. В  первых 64 секторах он должен быть если это Petya.

5 минут назад, Tungus сказал:

Вот запустил нужный образ. Куда жать теперь?)

Запустить под текущим пользователем.

 

Изменено 13 часов назад пользователем safety

[Tungus]

1 час назад, safety сказал:

Там можно окно с uVS свернуть, должен открыться far (менеджер файлов), проверьте в фаре будет виден проблемный диск или нет. Потом найдете на загрузочном диске X каталог USERAPP, там будет папка с Winhex, оттуда можно будет запустить winhex. Проблема здесь только в том, что он копирует всего один первый сектор, но можно будет выполнить поиск, например http, есть там на диске или нет. В  первых 64 секторах он должен быть если это Petya.

Запустить под текущим пользователем.

 

Диски все кроме C открываются. Про попытке открыть C выдает вот такую ошибку

А папку USERAPP на диске X не могу найти. В корне ее нет, порыскал по папкам другим - тоже не нашел…

 

И кстати вопрос, если у меня каких-то важных файлов не было на ПК, возможно ли переустановить систему? Я что-то сомневаюсь что возможно это все дело восстановить - как минимум, даже если извлеку файлы, и подберется ключ, то спец символы я не введу никак

[safety]

Ну, ради научного результата надо убедиться, оригинальный это Petya, или фейковый, или модифицированный, или просто вайпер.

Пробуйте этот iso использовать для загрузки с флэшки. Winpe+uVS4.15, здесь должен быть Winhex

(возможно, что под W10uVS4.0 убрал лишние инструменты, оставил только uVS)

 

Только tools не размещаются на X, а находятся на E, т.е. на устройстве CD

 

Изменено 12 часов назад пользователем safety

[Tungus]

17 минут назад, safety сказал:

Ну, ради научного результата надо убедиться, оригинальный это Petya, или фейковый, или модифицированный, или просто вайпер.

Пробуйте этот iso использовать для загрузки с флэшки. Winpe+uVS4.15, здесь должен быть Winhex

(возможно, что под W10uVS4.0 убрал лишние инструменты, оставил только uVS)

Я по изначальной ссылке проходил на Dropbox. Скачал 2 образа, один 2017 года, другой 2024 года. В обоих не смогу найти Winhex, а именно даже папку USERAPP как минимум…

[safety]

обновите страницу, читаем мое верхнее сообщение. USERAPP есть и на W10&uVS 4.0, так же как и папка Tools есть на W10&uVS 4.15

 

Вообщем, утро вечера мудренее, а у меня уже ближе к полночи. Напишите что у вас получится.

Завтра сможем продолжить, если есть желание разобраться с этим до конца.

Изменено 11 часов назад пользователем safety

[Tungus]

1 час назад, safety сказал:

обновите страницу, читаем мое верхнее сообщение. USERAPP есть и на W10&uVS 4.0, так же как и папка Tools есть на W10&uVS 4.15

У меня два диска физических, размеченные:

Разделы C, D - система и другие файлы соответственно (раздел D при этом читается в отличие от C);

Остальные разделы (включая E), кроме разделов I, J, X соответственно. Ни в одном из этих разделов я не могу найти папку USERAPP или Tools (раздел I не открывается - бьет ошибку как и C, раздел J - пустой, там лишь WinRe.wim). Раздел G содержит лишь множество директорий локализации относящихся к boot manager судя по всему.

1 час назад, safety сказал:

обновите страницу, читаем мое верхнее сообщение. USERAPP есть и на W10&uVS 4.0, так же как и папка Tools есть на W10&uVS 4.15

 

Вообщем, утро вечера мудренее, а у меня уже ближе к полночи. Напишите что у вас получится.

Завтра сможем продолжить, если есть желание разобраться с этим до конца.

К сожалению, мне бы завтра иметь рабочий комп)

поэтому я думаю мой единственный вариант - переустановка. Скажите, а я могу как-то перенести файлы с других дисков (не из C) и таким образом сохранить их? Просто они вроде как не зашифрованы, большинство что я проверял открываются без проблем…

 

UPD: Прогнал свой ключ еще раз через декриптор, разблокировка пошла!
Видимо, в изначальном ключе была опечатка, именно поэтому он плевался юникод символами. В общем, всё (пока что) хорошо, но я все равно буду переустанавливать винду после разблокировки (я думаю что сейчас кидают петь вместе ратниками, поэтому рисковать я бы не стал и вводить свои пароли заново тоже...)

[safety]

Ну в принципе, как я и подозревал, не стоило тратить время, если у вас есть ключ разблокировки на руках.

Изменено 2 часа назад пользователем safety