勒索病毒Petya有解　國外安全專家Petya Sector Extractor解密程式 - 電腦王阿達

先前我們曾報導過「Dropbox成勒索病毒散佈溫床　Petya讓你的電腦連開機也開不了」，裡面提到現在有勒索病毒Petya使用Dropbox空間來散布病毒，現在有國外的資訊安全單位推出了Petya專用的解密軟體，避免妳中招了求助無門。

國外資訊安全單位Virus Guides日前針對勒索病毒Petya，整理了國外網友（leostone與某位善心人士）推出的專用的解鎖軟體。由於Petya的特色是在執行時，會先將電腦的防毒軟體停用，接著才下載勒索病毒本體，同時讓電腦當機，當使用者不疑有他重新開機時，其實就是讓電腦被Petya加密開機磁區。

 

而國外網友的概念，就是當使用者發現遭到Petya感染而當機時，千萬不要重新開機。使用者需要將遭到Petya勒索的電腦硬碟拆下來，透過外接盒與另外一台沒有中獎的電腦連接，使用乾淨的電腦下載Petya專用的解密軟體，讓軟體提取出硬碟的一些資料（主要是sector 55 (0x37h) offset 0(0x0)的512 bytes資料，以及在sector 54 (0x36) offset: 33 (0x21)的8 bytes nonce。這些資料必須轉成Base64編碼。）並將解密軟體提取出的編碼資料複製到解密網站上（網站1／網站2），就可以取得你電腦的Petya解密金鑰，這時候只要將硬碟裝回原本的電腦上，輸入剛剛取得的解密金鑰就可以將你的電腦回復原本的狀態了。

↑當使用者發現電腦遭到Petya感染而當機時，不要重開機，直接把硬碟拔起來用外接盒接到其到電腦上。

 

↑接著在乾淨的電腦上下載執行專用的解密軟體，並且將顯示出來的編碼複製起來。

 

↑接著到解密網站上貼上剛剛複製起來的編碼，按下最下面的送出。

 

↑這樣你就能取得你的Petya的解密金鑰。

 

↑接著在把硬碟接回原本的電腦中，輸入剛剛的解密金鑰，照理說你的電腦就可以順利的解密了。

 

 

最後還是重申一下，本套軟體僅對勒索病毒Petya有用，對其他勒索病毒並沒有用。有鑑於勒索病毒日新月異、種類繁多、變種軟體更多，往後勒索病毒相關文章，都會將一些預防的方式與解鎖的方式列在文章最後面，並且持續的不斷更新，希望以此能夠幫助一些人。

 

預防勒索病毒

PTT神人輩出　鄉民撰寫萬用偵測勒索病毒腳本

把檔案放在保險箱中　用《iPC 2016》避免勒索病毒的侵襲吧

預防勝於治療　歐洲防毒公司推出CryptoLocker勒索病毒疫苗

 

解鎖勒索病毒

CrypBoss (包含衍生的HydraCrypt與UmbreCrypt)

勒索病毒可能有解　善心人士製作還原加密金鑰工具

CoinVault與Bitcryptor

電腦中了勒索病毒無解嗎？　先試試看卡巴斯基的解密工具