Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya — Finance.ua
0 800 307 555
укр
0 800 307 555
Місце для вашої реклами

Кіберполіція розповіла, в яких випадках можна відновити інформацію після вірусу Petya

Технології&Авто
3246
Кіберполіція встановила три варіанти втручання вірусу Petya і розповіла, в яких випадках інформацію на комп’ютері можна відновити.
Про це повідомляє прес-служба відомства.
Кіберполіція в процесі дослідження вірусу Petya і його шкідливого впливу на комп’ютери користувачів виявила кілька варіантів його втручання.
У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення змісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
У другому випадку комп’ютери заражені, частково зашифровані. Система почала процес шифрування, але зовнішні фактори, наприклад виключення, припинили процес шифрування.
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не почався.
У кіберполіції зазначили, що в тому, що стосується першого сценарію – в даний час поки не встановлено спосіб, який гарантовано проводить розшифровку даних. Вирішенням цього питання спільно займаються фахівці Департаменту кіберполіції, СБУ, ДССЗЗІ, вітчизняних і міжнародних ІТ-компаній.
Водночас у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, в кіберполіції встановили, що вірус Petya працює в кілька етапів.
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп’ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0×7), а потім записує свій завантажувач на місце вищевказаного сектора, інші коди вірусу записуються в перші сектори диску. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор, в якому встановлений прапор, що дані ще не зашифровані і їх потрібно зашифрувати, і починається процес шифрування, який має вигляд роботи програми Check Disk.

Довідка Finance.UA:

  • 27 червня 2017 року масованій кібератаці піддалися державні органи влади, фінустанови, великі підприємства.
  • В Україні зафіксовано понад 2 тисячі звернень про кібератаку.
За матеріалами:
УНН
Місце для вашої реклами
Якщо Ви помітили помилку, виділіть необхідний текст і натисніть Ctrl+Enter , щоб повідомити про це.
Поділитися новиною
Підпишіться на нас
Також за темою
Розраховуйте на
DMCA.com Protection Status
Cloudflare
Trustpilot
Всі онлайн позики в одному додатку
Payment systems
Про насРедакціяРедакційна політикаПолітика ШІЕкспертиРекламаСпецпроєктиПравила користуванняКонфіденційністьКонтакти
© 2000–2024 Товариство з обмеженою відповідальністю «Файненс.юа», свідоцтво на знак для товарів і послуг № 37423 від 16.02.2004, ЄДРПОУ 22929966. Адреса: вул. Миколи Грінченка, 4В, Київ, Україна. Графік роботи: Пн-Пт 9:00–18:00.
ТОВ «Файненс.юа» - незалежний фінансовий портал. Матеріали з позначками "Промо", "Акції", "Новини партнерів" розміщуються на правах реклами, за їх зміст несе відповідальність рекламодавець. Використання матеріалів і даних з сайту дозволено тільки з гіперпосиланням https://finance.ua.
Ми не беремо плату за послуги підбору та порівняння фінансових пропозицій в каталогах, і не надаємо послуги кредитування, розміщення депозитів і страхування. Ваші особисті дані на сайті захищені шифруванням AES-256.