專家恢復由Petya勒索軟件加密的數據

由于一名身份不明的開發人員設法破解惡意軟件，因此感染機器并阻止訪問數據的勒索軟件的受害者現在可以重新獲得對這些文件的訪問權限。程序員只知道他們的Twitter處理Leo_and_Stone，通過代碼共享網站Github發布了該工具。他們開發了代碼來幫助他們的岳父，他的機器被惡意軟件感染了。

該惡意軟件自3月份開始流通，鎖定數據并要求獲得0.9比特幣(264英鎊)的贖金。它隱藏在電子郵件中，聲稱來自尋找工作的人。惡意軟件取代了硬盤驅動器的合法Mast Boot Record代碼。它加密主文件表(MFT)并顯示贖金票據。

這個惡意軟件的新穎之處在于文件未加密。MFT已被更改，因此操作系統無法定位數據。數據恢復工具可以重建文件，但這并不總是成功的。Leo_and_Stone開發的代碼意味著不再需要數據恢復或支付贖金。BleepingComputer.com的專家證實該方法有效，但需要從受影響的硬盤驅動器中提取一些數據。

Rapid7的高級系統工程師Tim Stiller告訴IT專業人員，Petya勒索軟件的獨特之處在于，這種新的解密工具能夠在不支付比特幣的情況下恢復文件。“許多勒索軟件變種都竭盡全力阻止用戶解密文件而無需支付贖金。在Petya的案例中，磁盤只用一個密鑰加密。雖然解密的描述技術對于某些人來說可能有點復雜，但它可行，“他說。

“對于感染了Petya的受害者，這個工具對于恢復他們的數據非常有幫助。從惡意軟件作者的角度來看，這種特定的解密工具可能會促使他們改變加密功能的方式，或轉換到逐個文件級別的加密，從而修補恢復數據的能力。 “對于處理此類威脅的組織，建議他們維護最近的數據備份，并避免打開他們不確定的任何電子郵件和附件。如果他們有任何疑慮，他們應該將可疑電子郵件轉發給安全團隊進行分類，“他補充道。