Izsiljevalski virus Petya padel
Matej Huš
12. apr 2016 ob 20:39:10
Raziskovalci so uspeli zlomiti izsiljevalski virus Petya, ki je pestil uporabnike operacijskega sistema Windows, saj jim je zašifriral dele diska in v zameno za povrnitev podatkov terjal plačilo 0,9 bitcoina (380 dolarjev). Petya je bil poseben zaradi tega, ker gre za enega prvih izsiljevalskih virusov, ki tudi onemogoči zagon računalnika. Doslej so se namreč virusi omejevali na zaklenitev datotek.
Petya pa ni šifriral le uporabniških datotek s podatki, temveč je preprečil dostop do vseh datotek, saj je zašifriral MFT tabelo. Tako je računalnik ob zagonu prikazal rdeči zaslon z zahtevkom po plačilu odkupnine. Datoteke so bile še vedno na disku, a brez MFT jih operacijski sistem ne more najti. S prestavitvijo diska v neokužen računalnik je s programi za obnavljanje izbrisanih datotek sicer v nekaterih primerih mogoče rešiti večino datotek, a je postopek zamuden in nezanesljiv. Zato je zlom virusa Petya več kot dobrodošel.
Na internetu se je namreč pojavil algoritem, ki v nekaj sekundah izlušči geslo, potrebno za odklep datotek. Postopek kljub temu ni docela trivialen, saj je treba disk prenesti v delujoč računalnik. Potem moramo z njega prebrati 512 bajtov, ki so zapisani na sektorju 55 (0x37h), ter vsebino sektorjev 54 (0x36) in 33 (0x21). Te podatke potem prevedemo v štiriinšestdesetiški sistem in vpišemo na spletno stran pisca algoritma, ki v nekaj sekundah izračuna geslo. Disk potem vrnemo v prvotni računalnik, zaženemo in vpišemo geslo. Glavno vprašanje pa ostaja, kdo neki je avtor algoritma za odklep.