Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya


Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya

Кіберполіція встановила три варіанти втручання вірусу Petya і розповіла, в яких випадках інформацію на комп’ютері можна відновити.

Про це повідомляє прес-служба відомства.

Кіберполіція в процесі дослідження вірусу Petya і його шкідливого впливу на комп’ютери користувачів виявила кілька варіантів його втручання.

У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення змісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.

У другому випадку комп’ютери заражені, частково зашифровані. Система почала процес шифрування, але зовнішні фактори, наприклад виключення, припинили процес шифрування.

У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не почався.

У кіберполіції зазначили, що в тому, що стосується першого сценарію – в даний час поки не встановлено спосіб, який гарантовано проводить розшифровку даних. Вирішенням цього питання спільно займаються фахівці Департаменту кіберполіції, СБУ, ДССЗЗІ, вітчизняних і міжнародних ІТ-компаній.

Водночас у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Таким чином, в кіберполіції встановили, що вірус Petya працює в кілька етапів.

Перший: отримання привілейованих прав (права адміністратора). На багатьох комп’ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0×7), а потім записує свій завантажувач на місце вищевказаного сектора, інші коди вірусу записуються в перші сектори диску. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор, в якому встановлений прапор, що дані ще не зашифровані і їх потрібно зашифрувати, і починається процес шифрування, який має вигляд роботи програми Check Disk.

Довідка Finance.UA:

  • 27 червня 2017 року масованій кібератаці піддалися державні органи влади, фінустанови, великі підприємства.
  • В Україні зафіксовано понад 2 тисячі звернень про кібератаку.
  • i

    Якшо Ви помітили помилку, виділіть необхідну частину тексту й натисніть Ctrl+Enter, щоб повідомити про це нам.

Також з цієї теми
Дивись також
Рейтинг популярності матеріалу «Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya» на Finance.UA - 5.0
Топ новини
Обговорюють

Читають

В Контексті Finance.UA