Itt az orvosság a Petya ellen
A váltságdíj kifizetése nélkül is visszakaphatják fertőzött számítógépükön tárolt adataikat a Petya ransomware-nek áldozatul esett felhasználók, hála egy biztonsági szakértő webappjának.
Fellélegezhetnek az egyik különösen kártékony ransomware, a Petya áldozatai: egy biztonsági szakértőknek sikerült rést találni a felhasználói adatokat titkosítással túszul ejtő szoftver pajzsán, a fertőzött gépen tárolt információk kódolása így a váltságdíj kifizetése nélkül is feloldható. Az érintettek a Bleeping Computer fórumon útmutatást is találnak a kártevő kiebrudalásához, a leírás lépésről lépésre végigvezeti a felhasználót a javítás folyamatán.
A ransomware-ek mára az egyik legveszélyesebb kártevőosztállyá nőtték ki magukat, az először néhány héttel ezelőtt, Németországban felbukkant Petya azonban még közülük is kiemelkedik. A rosszindulatú szoftver a célba vett gép tárolójának partíciós szektorát (Master Boot Record, vagy MBR) titkosítja, majd kiírja követeléseit - ez jellemzően 0,9 Bitcoin elküldése a támadók részére. Az MBR-hez, azaz a merevlemez első 512 bájtjához való hozzáférés híján a PC képtelen bebootolni, nagyban megnehezítve malware kiirtását.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
A kártevő a Twitteren @leo_and_stone handle alatt futó szakértő apósának számítógépére is eljutott, az após szerencsétlenségére és sok felhasználó szerencséjére - ez vette rá ugyanis a kutatót, hogy közelebbről is megismerkedjen Petyával. A szakember szerint a malware egyik fő gyengesége, hogy a Salsa20 helyett, a korábbi, kevésbé biztonságos Salsa10 algoritmust alkalmazza az adatok visszaállításához használt 512 bájtos igazolószektor titkosításának feloldásához, melyet a meghajtó 55-ös szektorában tárol.
Mikor a felhasználó a váltságdíj kifizetése után kapott kódot a kártevőnek megadja, az azt egy ugyancsak a meghajtón tárolt egyszeri nonce-szal összekapcsolva használja fel az igazolószektor feloldásához - ha ez a művelet sikeres, a program az MBR-t is visszaállítja. Lényegében ezt a folyamatot veszi kézbe @leo_and_stone megoldása, amely egy algoritmus segítségével a feloldás igazolásához használt szektort veszi górcső alá, annak alapján pedig nagyjából fél perc leforgása alatt létrehoz egy feloldókulcsot.
A művelethez azonban szükség van egy másik számítógépre - miután a fertőzött gép ebben a formában használhatatlan - amelyhez a szóban forgó meghajtó csatlakoztatható. Ezután a felhasználónak ki kell másolni a fertőzött merevlemez említett szektorát, illetve a nyolcbájtos nonce-ot is - ezek birtokában a szakértő által fejlesztett webapp generál egy kódot az adatok visszaszerzéséhez. A Petya kijátszása persze még így sem gyerekjáték, a fentebb említett útmutató ugyanakkor nagyban megkönnyíti az áldozatok dolgát, kiváltképp, hogy abban Fabian Wosar biztonsági kutató szoftvere is helyet kapott, amellyel egyszerűen kiemelhető az érintett meghajtó két szükséges eleme.
Bár a javításnak hála sokan nyugodtabban alhatnak, ez sajnos minden valószínűség szerint csak időleges: a Petya fejlesztői a váltságdíjfolyam fenntartása végett valószínűleg nem hagynak nyitva egy ilyen sebezhetőséget, a kártevő következő verzióiban azt egészen biztosan befoltozzák majd. A legjobb védekezés tehát továbbra is a megelőzés, az egyre szofisztikáltabb phishing támadások tükrében érdemes minden, akár a legkisebb mértékben is gyanús emailt vagy linket kiemelt óvatossággal kezelni.