Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya
Кіберполіція встановила три варіанти втручання вірусу Petya і розповіла, в яких випадках інформацію на комп’ютері можна відновити.
Про це повідомляє прес-служба відомства.
Кіберполіція в процесі дослідження вірусу Petya і його шкідливого впливу на комп’ютери користувачів виявила кілька варіантів його втручання.
У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення змісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
У другому випадку комп’ютери заражені, частково зашифровані. Система почала процес шифрування, але зовнішні фактори, наприклад виключення, припинили процес шифрування.
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не почався.
У кіберполіції зазначили, що в тому, що стосується першого сценарію – в даний час поки не встановлено спосіб, який гарантовано проводить розшифровку даних. Вирішенням цього питання спільно займаються фахівці Департаменту кіберполіції, СБУ, ДССЗЗІ, вітчизняних і міжнародних ІТ-компаній.
Водночас у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, в кіберполіції встановили, що вірус Petya працює в кілька етапів.
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп’ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0×7), а потім записує свій завантажувач на місце вищевказаного сектора, інші коди вірусу записуються в перші сектори диску. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор, в якому встановлений прапор, що дані ще не зашифровані і їх потрібно зашифрувати, і починається процес шифрування, який має вигляд роботи програми Check Disk.
Довідка Finance.UA:
- 27 червня 2017 року масованій кібератаці піддалися державні органи влади, фінустанови, великі підприємства.
- В Україні зафіксовано понад 2 тисячі звернень про кібератаку.
За матеріалами: УНН
Поділитися новиною