petya Снова Petya

[SilverBull81]

Здравствуйте!
Вот и не миновала меня сия участь - подцепил Петю или что-то очень на него похоже при скачивании файла с dropbox.
Сделал загрузочную флешку с antipetya_ultimate от hasherezade, однако после загрузки до tc@box: ~$ почему-то отваливается клавиатура, так что ничего ввести не получается. 😞

Перебил id руками в файл и запустил petya_key от того же автора, но получил очень странный key: -Ж↑'@AJфжvЕ↓УFV)

Что посоветуете в моем случае?

 

Изменено 11 часов назад пользователем safety

[safety]

5 часов назад, SilverBull81 сказал:

но получил очень странный key: -Ж↑'@AJфжvЕ↓УFV)

Что посоветуете в моем случае?

для получения ключа по известному уникальному идентификатору,

который содержится на экране ввода ключа, и может быть извлечен из из первых 64 секторов системного диска.
используем загрузочный Winpe + инструментарий DMDE

Цитата

DMDE поддерживает файловые системы NTFS/NTFS5, FAT12/16, FAT32, exFAT, Ext2/3/4, HFS+/HFSX, ReFS (Beta) и работает в Windows 98/..XP/..7/..10, Linux, macOS, DOS (консольный интерфейс).

 

 

Загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin с последующим извлечением (можно использовать hex-редакторы: Winhex или xwforensics) необходимого идентификатора.

 

Если идентификатор не получится извлечь, например, его там нет, тогда нужен будет сэмпл, который вы скачали.

Изменено 11 часов назад пользователем safety

[thyrex]

Я бы для начала все же попробовал аккуратно вбить ключ верно, наверняка где-то допущена ошибка ввода (регистр букв в первую очередь), как в последних обращениях с Петей.

[safety]

Есть некоторая вероятность, что это фейковый, или модифицированный вариант, с целью ввести в заблуждение, или обойти алгоритм расшифровки, связанный получением мастер-ключа от разработчика оригинального Petya.

Изменено 9 часов назад пользователем safety

[SilverBull81]

Загрузил WinPE, скопировал первые 64 сектора системного диска.
Ключ соответствует тому, что был вбит руками с экрана, так что antipetya_ultimate выдает точно такой же key. 😞

Видимо, все-таки какой-то модифицированный вариант. 
 

Скажите, пожалуйста, есть ли какие-то варианты отделаться малой кровью или только format c остается?

petya_id.txt

[safety]

Уже что то засветилось, но возможно что опять есть ошибки считывания с последнего скрина.

 

Choose one of the supported variants:
r - Red Petya
g - Green Petya or Mischa
d - Goldeneye
[*] My petya is: Victim file: id.txt
[+] Victim ID: FMZv4LRCLKBPJ88PkQkYppXM8AAhdsu5mMfEZvj3k2Tn1s56XGyAAs7AvnZW72Fch43GmHN14AQLpHFS3fgxv7S5bw
---
[+] Your key   : -Ж'@AJфжvЕУFV)

 

т.е. нужен сам бинарный файл.

Чтобы можно было извлечь идентификатор без ошибок. (если только в нем самом нет ошибок)

 

Можете загрузить просто бинарный файл с первыми  64 сектора диска (0-63)?

В архиве, без пароля.

Цитата

Загрузиться с Winpe, скопировать с 0 по 63 секторы проблемного жесткого диска, сохранить в файл *.bin

 

Цитата

Скажите, пожалуйста, есть ли какие-то варианты отделаться малой кровью или только format c остается?

Малой кровью не получится, кровь (от потерянных данных) просто хлынет через монитор, когда начнете форматировать диск. Такая вот грустная шутка.

 

И хорошо бы вам восстановить ссылку, откуда вы скачали данный "сюрприз".

Изменено 4 часа назад пользователем safety

[SilverBull81]

UPDATE: Удалось подобрать key, используя программу от leo-stone (leo-stone/hack-petya: search key to restore petya encrypted mft), используя содержимое секторов 54 и 55.
Правильный key: pxsxwxrxpxsxwxrx
Абсолютно другой по сравнению с вариантом, который выдает antipetya_ultimate.
Насколько я понимаю, программа от leo-stone подбирает key, используя оптимизацию генетическим алгоритмом.
Большое спасибо за помощь - подтолкнули к движению в нужном направлении!!! 👍 

 

Вот скрин работы дешифровщика:

 

Касательно источника - увы, как выяснилось, малой скачал файл не с dropbox, как он утверждал изначально, а из чата в Телеграме (имя ушлепка на скрине в начале темы).

Сам файл и исходный zip-архив я уже удалил, сейчас Kaspersky делает полную проверку.

 

P.S.: не могу прикрепить bin-файл (недопустимый формат), переименовал в .txt

dev0_lba0_64.txt

Изменено 3 часа назад пользователем SilverBull81

[safety]

Да, ключ по варианту hasherezade и le0 различаются, но оба рабочие,  бинарник сейчас проверю.

Файл можно было просто добавить в архив. Я так выше и написал.

 

Цитата

Сам файл и исходный zip-архив я уже удалил, сейчас Kaspersky делает полную проверку.

Вот и зря. Мы вам помогли, а вы нам нет. Хотя а я вам выше об этом написал, о необходимости проверить сэмпл.

 

 

Изменено 1 час назад пользователем safety

[SilverBull81]

Извините, про сэмпл было только в первом сообщении, да и только на тот случай, если не получится извлечь ключ... 

И я не особо силен в теме вирусов, чтобы быть уверенным, что он был безопасен в таком виде.

 

На всякий случай, вот результаты проверки KIS, там целый зоопарк был получается ☹️

 

[safety]

Вот тот файл интересует, что задетектирован как *Petr*.

Файл безопасен, в том смысле, что он вручную был запущен. Его можно переименовать на расширение exe

Пробуйте восстановить его из карантина, заархивировать с паролем virus, загрузить в ваше сообщение.

Можно и архив Winrar* возможно что там вся сборка, и архив скорее всего без пароля.

+

Загрузите, пожалуйста, ваши nonce.txt, и src.txt (в архиве, без пароля) по которым вы нашли ключ через утилиту Le0 Stone

 

Сколько примерно по времени ушло на поиск ключа?

Изменено 1 час назад пользователем safety

[SilverBull81]

Вот сэмпл и входящие данные для leo-stone.
Ключ нашелся очень быстро, буквально пару минут - только успел чай налить сходить.

ZeninInternal.7z leo_stone_inputs.zip

[safety]

Спасибо.

Я проверил по своим данным nonce и src тоже получил ключ. Были изначально ошибки с получением этих файлов из 54 и 55 сектора, (потому запросил у вас эти файлы)

но вот наверное с третьего раз разобрался, где были ошибки.

 

00000000  c9 f0 54 c7 da c1 e2 5d  58 0a dc c8 ba 3e 82 db  |..T....]X....>..|
00000010  00 02 80 40 64 5a d4 81  da cd e2 d3 58 10 eb ca  |...@dZ......X...|
00000020  c9 f0 54 02 da cb e2 1d  d8 4b da c8 3a 3d 00 82  |..T......K..:=..|
00000030  00 02 00 00 00 62 00 d4  00 5a 00 e2 00 d8 00 e9  |.....b...Z......|
00000040  00 ca 00 d4 00 da 00 e2  00 58 00 da 00 3a 00 00  |.........X...:..|
00000050  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000060  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000070  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 ff 00  |................|
000000f0  d1 00 02 00 07 00 5a 00  c1 00 4e 00 d7 00 50 00  |......Z...N...P.|

[61641 51028 49626 24034 2648 51420 16058 56194 512 16512 23140 33236 52698 54242 4184 51947]
Your key is:  pxsxwxrxpxsxwxrx

 

Это интересная  история получилась, так как в предыдущих темах с подобными паролями не смогли предоставить 54 и 55 сектора, и возникло предположение, что это может быть фейковые случаи.

 

Спасибо Вам что что справились с получением ключа, получили и предоставили всю необходимую инфо!

[safety]

По файлу:

думаю, именно это файл использовался для шифрования MFT системного диска.

ESET-NOD32 Win32/Diskcoder.Petya.C Trojan

Kaspersky Trojan-Ransom.Win32.Petr.avz

https://www.virustotal.com/gui/file/8747b8ebb9c3338a2d56a33da3e47513aae8661d8b049453a9359866cbd2aae8

 

Если необходимо дополнительно проверить расшифрованную систему:

 

Добавьте дополнительно образ автозапуска в uVS без отслеживания процессов и задач.

(не закрывайте процессы, пока не будет создан образ автозапуска)

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 19 минут назад пользователем safety