メニュー

ランサムウェア「Petya」によってアクセスできなくなったドライブ修復手順メモ

2016年4月12日 - malware
ランサムウェア「Petya」によってアクセスできなくなったドライブ修復手順メモ

先月末にファイル単位ではなくディスク単位で人質に取るタイプのランサムウェア「Petya」が登場しました。
こちらのブログでも感染するとどうなるかというブログエントリを公開しました。
その「Petya」に感染したドライブを修復する方法を見つけた方が手順を公開されていたので本ブログでも手順を参考にしならが修復の可否を検証しました。

 

下図は「Petya」に感染したハードディスクドライブ[Fドライブ]を別のコンピュータに接続している状態です。
01
正常に接続されてはいるもののRAWデータとして認識しており、開こうとしてもポップアップのメッセージにもあるとおり
読み取ることができずアクセスすることができない状態です。この状態で修復に必要な情報をこのディスク内から抽出します。
抽出には「Petya Sector Extractor」というツールが公開されているのでそちらを利用しました。

02
正常に実行されると上図のように「Petya」に感染しているドライブのプルダウンメニューが表示されます。

このツールは一旦このままにしておき必要な情報を入力することで
キーを求めることのできるサイト( https://petya-pay-no-ransom.herokuapp.com/ )へアクセスしておきます
(mirror: https://petya-pay-no-ransom-mirror1.herokuapp.com/
03

次にこのサイトに入力する情報は先程、起動した「Petya Sector Extractor」を利用します。
手順は以下の通りです。

04
① 「Petya Sector Extractor」の[Copy Sector]をクリックしクリップボードにコピーされた情報を上段のテキストボックスに貼り付け。
② 「Petya Sector Extractor」の[Copy Nonce]をクリックしクリップボードにコピーされた情報を下段のテキストボックスに貼り付け。
③ サイトの[Submit]ボタンをクリック

以下が入力した例です。
05

また、下図は[Submit]をクリックした後、しばらくしてキーが表示されている画面です。
06

上図にある[Your Key is :]に続く文字列が割り出されたキーです。
このキーを「Petya」のキー入力画面に入力したところ修復処理が開始されました。
07

しばらくすると下図のように再起動を促す画面が表示されました。
08

メッセージの通り再起動したのですが下図のようにWindowsの起動をすることができませんでした。
(検証環境や手順に何かしらの問題がある可能性は否定できません。方法によっては正常にOSが起動する場合もあるのかもしれませんが再現できておりません)
09

別のコンピュータに修復後のハードディスクドライブを接続したところ修復前とは異なり
ハードディスクドライブ内のファイルにアクセスすることが可能となっていました。
10

 

【謝辞】
修復手順を公開したhasherezade(@hasherezade)氏、leostone(@leo_and_stone)氏の両名に敬意を表します。

タグ: