Как стать автором
Обновить

Комментарии 45

Удивило, что надо переставлять диск — почему не сделать liveCd?
А зачем live CD? Windows, начиная с восьмёрки поддерживает WtG (полноценная система работает с флешки). Я себе сделал две системы — 64bit (на внешнем SSD) и 32bit (на флешке, которая с контролером от SSD). Удобная штука.
Windows to Go — корпоративная фича. Не у всех есть лицензия на такую редакцию.
Если MS до сих пор не выпилила эту возможность из Pro версии, я думаю, можно пользоваться. Хотя возможно и Core будет загружаться с внешника, я не проверял.
Ещё в далеких 2006-2007 (точно не помню) делал загрузку по usb ещё Windows XP.
и более новых ос...
Инструкций в интернете — море, Vista также — но грузилась некоторыми биосами намного медленнее.
Во времена Windows 7 уже появились конструкторы, распаковывающие Wim образ и делающие патч usb драйверов (смена группы на Base/Boot и изменение запуска сервиса (Start) на 0 (Boot).
Думаю в Windows 8/8.1/10 не сильно все изменилось.
Т.е. фича изначально сделана любителями.

PS: для корректной работы нужен FBWF/EWF (который в теории требует лицензию) или иной
драйвер, уменьшающий запись на флешку (например Superspeed Disk).

PSS: при запуске установщика (из boot.wim) на shift+f10 можно вызвать коммандную строку, если не ошибаюсь в
Windows 8.1/10 уже появился свой (обрезаный) explorer, который можно из неё запустить.
Однако могут быть проблемы с запуском 32-х разрядных пиложений на 64ом -установщике (отсутствует Wow64).
Начиная с Win 10 установка на флешку свелась в две команды (в восьмерке отдельно нужно было dism устанавливать):
1. dism /apply-image /imagefile:C:\install.wim /index:1 /applydir:W:\ где C:\install.wim — путь до образа, W — целевой диск, 1-индекс нужной версии системы.
2. W:\windows\system32\bcdboot W:\windows /f ALL /s S: где W — системный раздел.
Все просто как пять копеек. Я сейчас винду только так и устанавливаю, много быстрее, чем с диска. На мой взгляд.
И windows 7 так можно, только через imagex, там тоже есть что-то вроде /apply ( /apply-image).
bcdboot там тоже есть.
А имя той проге pwboot
Да, я про это тоже слышал, но не пользовался. На момент актуальности Win 7, я такими вещами еще не интересовался.
расскажите подробнее, пожалуйста.

SSD-like контроллер обязателен или пойдет «обычная» флешка тоже?
Я из своих эксперементов так понял, что у флешки должна быть высокая скорость чтения/записи мелкоблока (мелких файлов). У обычных флешек эта скорость на уровне сотых мегабайта в секунду. А у HDD, SSD и SSD-подобных флешек — 3-4 Мб в секунду. Это из моих наблюдений.
Модель ADATA N005. Но эта бралась ещё в 2011-2012 году. Внутри из себя представляет бутерброд из 4 чипов памяти на двух платах и контролера. В новых той же модели все проще и они — обычные флешки.
Хотя нет, вру. Сейчас открыл. У неё внутри два контролера и чип с прошивкой, судя по всему. JMF601 и LV700. Ну и четыре чипа памяти на двух платах, как и говорил. Я вообще в ней первой и последней такую компоновку видел. Больше таких не попадалось.
Возможно для того, чтобы заразить как можно больше систем.
>> Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

Люблю такую тему :) Жалко, что он еще не запрашивает установить Visual Studio, крякнуть ее и скомпилировать себя.
configure
make
sudo make install
Некоторым придётся еще ставить makeutils)
Шел 2016 год…
Хорошо, что есть люди, которые используют свои таланты во благо другим и пишут такие расшифровщики. Вот где талант.
Молодец, НО теперь и сайт не работает, лучше бы генератор ключа выложил отдельным приложением.
Очень странный ход с этим сайтом. Зачем завязывать всю лечилку на доступность сервера?
НЛО прилетело и опубликовало эту надпись здесь
Так вы и пост от 2016 года комментируете. Кстати, нынешний «Петя» — это, по классификации Касперского, «NotPetya», потому как очень сильно отличается.
> У Petya обнаружена также специальная схема маскировки для скрытия активности.

Очень «специальная», которая стара как мир.

> Изначально криптовымогатель запрашивает у пользователя активацию UAC, маскируясь под легальные приложения.

Интересно, много ли приложений у обычного пользователя, которые каждый раз просят админские права? Если приложение вдруг запросило для работы админские права, которые ему до этого ни разу не были нужны — одно это уже должно навести на подозрение и побудить сказать «Нет» на запрос UAC.
Да надо быть «компьютерным гением» изначально, чтобы запустить скрипт из аттача. А с UAC та-же проблемам, что у другого Пети, который часто кричал про волков. Знакомые пользователи поднимают панику из-за окошка «обработка завершена» с кнопкой окей, но на окно UAC жамкают «ничтоже сумняшеся»
многие знакомые отключают UAC, «чтобы не мешало работать», а потом обращаются — «ой, у нас тут вирусы завелись»
Немного переформулирую свой же вопрос: какая приблуда так часто у обычного юзера требует админские права, что из-за неё он может отключить UAC?
Любая из категории «шо попало».
Всякие криво написанные клиенты непонятных игр, установщики всяких медиагетов/яндексбаров (нажимать ведь надо на самую большую кнопку «скачать», а не на ту, что поменьше). Либо UAC отключен по умолчанию в очередной «волшебной» сборке SuperMegaWindows 7.

Иногда кажется, что существуют 2 параллельных мира — мир IT-специалистов и их окружения, где все сделано по уму (в основном), с современным софтом, и джунгли, живущие своей жизнью.

А ведь всего пара лекций по ИБ/общим принципам работы, немного социальной рекламы могли бы сильно улучшить ситуацию…
А иногда люди вроде и ИТ образованы, почитаются в кругу знакомых, а они и-за своей лени ставят какие попало, не понятно кем крякнутые, сборки со встроенным софтом.
Чтобы прийти, вставить флешку, и само все накатилось. Автоматизация вещь хорошая, но если бы эти сборки делались еще лично…
В первую очередь игры. Во вторую — portable-приложения, которыми сейчас очень модно пользоваться.
Мол, даже если Windows слетит, все приложения со всеми настройками останутся, и их не надо будет переустанавливать. Или если комп проапгрейдится — простым копированием можно перенести, очень удобно. Даже MS Office и Photoshop ставят в Portable-вариантах.
В-третьих, куча Legacy-софта, который всё ещё пытается хранить настройки не в реестре и не в профиле пользователя, а прямиком в собственной папке с exe'шником.
В четвёртом эшелоне идёт всё то, что устанавливается при втыкании в USB всевозможных камер / смартфонов / планшетов. Когда при каждом подключении девайса выскакивает UAC, это действительно может задалбывать.
По четвёртому случаю не понял, у меня просто спрашивает, что сделать с устройством (Win 10), UAC обычно появляется когда запускаю инсталяторы и софт с админскими правами.
Куча легаси софта спокойно работает и система перекладывает файлы в профиль пользователя сама, если конечно UAC включён. С остальным согласен, там будут тонкости.
Иногда бывает, что легаси-программист делает новый софт используя легаси-подходы, но современные инструменты. В таком случае система уже не перекладывает файлы в профиль пользователя — но программа все еще хочет доступ к своей папке на запись. Тут-то и возникают идеи вроде «да просто запусти ее под админом» :)

(Хотя правильное решение в таком случае — «выкусить» манифест из программы редактором ресурсов)
Агу :) и такое тоже бывает, но такого софта обычно мало, мне например вообще не попадалось, обычно проблемы как раз со старым софтом выпущенным ещё в лохматые годы до Vista (т. е. уже 10 лет и старше).
Raidcall, например.
Очень многие, когда хотят обновиться.
Для криптовымогателя с названием «Better Call Saul» есть какие-нибудь решения?
По моему нет, так же как и по большей части такой рансомвари.
Интересно было бы узнать подробности алгоритма. Мне казалось, что хреновая криптография для вымогателей — пройденный этап.
Самоответ: https://github.com/leo-stone/hack-petya
Жаль конечно что автор декриптора не поделился самим декриптором, а привязал алгоритм на сайт. Хотя я думаю, раз требуется 2 выдраных куска из пораженного жесткого диска — эти самые куски существуют на всех хардах с NTFS в неизменном виде, видимо на этом и основан алгоритм дешифрации — ключ подбирается на сравнении заведомо известных данных.
В комментаиях дали ссылку на гитхаб уже: github.com/leo-stone/hack-petya
Не самый сложный алгоритм, но довольно интересно всё же.
Ваш Petya Sector Extractor сам вирус… У меня Microsoft Security Essentials прям слёту его удалил за доли секунды сказав что этот файл который в архиве подлежит к немедленному удалению. Я даже не успел что либо сообразить и сказать «А».
возможно, причина в том, что он получает доступ к секторам жесткого диска, что по умолчанию считается подозрительным?
Иначе, к сожалению, ключ не получить
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации