Petya Decryptor
Инструкция по использованию
Для начала надо взять зашифрованный диск с зараженного компьютера и подключите его к компьютеру с ОС Windows, который работает в нормальном режиме. Если у зараженного компьютера несколько жестких дисков, вы должны взять только загрузочный диск, на котором установлена система, обычно это диск C:\. Другие способы подключения и описания опускаем.
После того, как подключите зашифрованный диск к рабочему компьютеру и загрузите ОС Windows, скачайте Petya Sector Extractor и сохраните его на Рабочем столе.
Скачать Petya Sector Extractor можно по ссылке в следующей статье. Для удобства ссылка находится в тексте, картинка в помощь.
Почему я не даю здесь прямую ссылку? Она была, но из-за особенностей файла экстрактора антивирусные движки могут обнаружить в нем "вирус". Это специальный инструмент, потому все детекты ошибочны. Технологии несовершенны, поэтому я убрал прямую ссылку и заменил её на картинку в тексте. Нет другого способа помочь в этой проблеме.
Распакуйте архив в папку с тем же названием и запустите файл PetyaExtractor.exe. После запуска он просканирует все съемные и несъемные диски в поиске тех, которые содержат bootcode Petya Ransomware. Когда он обнаружит диск, то автоматически выберет его и отобразит экран, как показано ниже.
Если диск, скомпрометированный Petya, не будет найдет, то вы увидите соответствующее сообщение (см. рисунок ниже).
Теперь перейдите на сайт PETYA-PAY-NO-RANSOM. На этом сайте вы увидите два текстовых поля Base64 512 и Base64 8 bytes. Чтобы сгенерировать ключ дешифрования, нужно ввести данные, извлеченные из Petya Sector Extractor в эти текстовые поля.
Используйте кнопку Copy Sector для копирования 512 byte и вставьте в текстовое поле "Base64 encoded 512 bytes verification data".
Используйте кнопку Copy Nonce для копирования 8 bytes и вставьте в текстовое поле "Base64 encoded 8 bytes nonce".
Для этого установите курсор в каждое поле ввода и вставьте код командой из контекстного меню, или используйте комбинацию клавиш Ctrl+V для вставки текста из буфера обмена.
Когда вы закончите ввод данных в текстовых полях, это будет выглядеть следующим образом (картинка ниже слева). Для генерации пароля дешифрования нажмите на кнопку "Submit". Этот процесс займёт около минуты, в результате будет показан пароль, см. рисунок ниже.
Запишите этот пароль и подключите зашифрованный жёсткий диск обратно в исходный компьютер. Включите заражённый компьютер и, когда увидите блокировку экрана Petya, введите сгенерированный пароль. Он будет принят и вымогатель начнёт расшифровку жёсткого диска.
После того, как жёсткий диск будет расшифрован, вам предложат перезагрузить компьютер и он загрузится уже нормально.
Удачной дешифровки!
© Amigo-A (Andrew Ivanov): All blog articles.
