专家恢复由Petya勒索软件加密的数据

由于一名身份不明的开发人员设法破解恶意软件，因此感染机器并阻止访问数据的勒索软件的受害者现在可以重新获得对这些文件的访问权限。程序员只知道他们的Twitter处理Leo_and_Stone，通过代码共享网站Github发布了该工具。他们开发了代码来帮助他们的岳父，他的机器被恶意软件感染了。

该恶意软件自3月份开始流通，锁定数据并要求获得0.9比特币(264英镑)的赎金。它隐藏在电子邮件中，声称来自寻找工作的人。恶意软件取代了硬盘驱动器的合法Mast Boot Record代码。它加密主文件表(MFT)并显示赎金票据。

这个恶意软件的新颖之处在于文件未加密。MFT已被更改，因此操作系统无法定位数据。数据恢复工具可以重建文件，但这并不总是成功的。Leo_and_Stone开发的代码意味着不再需要数据恢复或支付赎金。BleepingComputer.com的专家证实该方法有效，但需要从受影响的硬盘驱动器中提取一些数据。

Rapid7的高级系统工程师Tim Stiller告诉IT专业人员，Petya勒索软件的独特之处在于，这种新的解密工具能够在不支付比特币的情况下恢复文件。“许多勒索软件变种都竭尽全力阻止用户解密文件而无需支付赎金。在Petya的案例中，磁盘只用一个密钥加密。虽然解密的描述技术对于某些人来说可能有点复杂，但它可行，“他说。

“对于感染了Petya的受害者，这个工具对于恢复他们的数据非常有帮助。从恶意软件作者的角度来看，这种特定的解密工具可能会促使他们改变加密功能的方式，或转换到逐个文件级别的加密，从而修补恢复数据的能力。 “对于处理此类威胁的组织，建议他们维护最近的数据备份，并避免打开他们不确定的任何电子邮件和附件。如果他们有任何疑虑，他们应该将可疑电子邮件转发给安全团队进行分类，“他补充道。