หลังจากก่อนหน้านี้เราเคยพูดถึงการพบ private key ที่ถูกใช้เข้ารหัสใน ransomware Petya (ไม่ใช่ NotPetya นะครับ) ทำให้ได้มีหลายเจ้านำ private key ดังกล่าวไปทดสอบถอดรหัสไฟล์ดู ล่าสุดมีข่าวดีคือตอนนี้ทาง MalwareByte นั้นได้ปล่อยเครื่องมือสำหรับการถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Petya เวอร์ชั่นเก่าได้แล้วครับ โดยรุ่นที่ support ออกมีดังนี้

  • Red Petya
  • Green Petya (both versions) + Mischa
  • Goldeneye (bootlocker + files)

โดยเครื่องมือการถอดรหัสจะทำออกมา 2 version ดังนี้

  1. Live CD
  2. Windows executable

วิธีการใช้งานมีดังนี้ครับ

1. หา personal decryption code จากในไฟล์ที่เป็นตัวขู่ (Ransom Note)

2. save ID ดังกล่าวไว้ในไฟล์

3. ใช้เครื่องมือทำการถอดรหัส โดยการระบุไฟล์ที่มี ID อยู่

4. นำ key ที่ได้จากเครื่องมือไปใช้ใน Decryptor เฉพาะอีกที

For Mischa: https://drive.google.com/open?id=0Bzb5kQFOXkiSWUZ6dndxZkN1YlE
For Goldeneye: https://drive.google.com/open?id=0Bzb5kQFOXkiSdTZkUUYxZ0xEeDg

Source:: MalwareBytes