Киберполиция рассказала, в каких случаях можно восстановить информацию после вируса Petya — Finance.ua
0 800 307 555
0 800 307 555

Киберполиция рассказала, в каких случаях можно восстановить информацию после вируса Petya

Технологии&Авто
3246
Киберполиция установила три варианта вмешательства вируса Petya и рассказала, в каких случаях информацию на компьютере можно восстановить.
Об этом сообщает пресс-служба ведомства.
Киберполиция в процессе исследования вируса Petya и его вредного воздействия на компьютеры пользователей обнаружила несколько вариантов его вмешательства.
В первом случае компьютеры заражены и зашифрованы, система полностью скомпрометирована. Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
Во втором случае компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы, например выключение, прекратили процесс шифрования.
В третьем случае компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
В киберполиции отметили, что в том, что касается первого сценария — в настоящее время пока не установлен способ, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, отечественных и международных ИТ-компаний.
В то же время в двух последних случаях есть шанс восстановить информацию на компьютере, поскольку таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать.
Таким образом, в киберполиции установили, что вирус Petya работает в несколько этапов.
Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0×7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные коды вируса записываются в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.
Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор, в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

Справка Finance.UA:

  • 27 июня 2017 года массированной кибератаке подверглись государственные органы власти, финучреждения, крупные предприятия.
  • В Украине зафиксировано более 2 тысяч обращений о кибератаке.
По материалам:
УНН
Если Вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter , чтобы сообщить нам об этом.

Поделиться новостью

Подпишитесь на нас