Киберполиция рассказала, в каких случаях можно восстановиться после вируса Petya

Киберполиция установила три варианта вмешательства троянской программой Petya и рассказала, в каких случаях информацию можно восстановить.

Об этом сообщает пресс-служба ведомства, передает УНН.

Киберполиция в процессе исследования вируса Petya и его вредного воздействия на компьютеры пользователей обнаружила несколько вариантов его вмешательства (в случае предоставления трояну при его запуске, прав администратора).

В первом случае компьютеры заражены и зашифрованы, система полностью скомпрометирована. Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.

Во втором случае компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы, например отключение питания, прекратили процесс шифрования.

В третьем случае компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

В киберполиции отметили, что в том, что касается первого сценария – в настоящее время не установлен способ, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГССИЗИ, отечественных и международных ИТ-компаний.

В то же время в двух последних случаях есть шанс восстановить информацию на компьютере, поскольку таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Таким образом, в киберполиции установили, что троянская программа Petya работает в несколько этапов.

Первый: получение привилегированных прав (права администратора). На многих компьютерах в архитектуре Windows (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл шифрования, но на самом деле данные еще не зашифрованы.

Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

Напомним, 27 июня ряд государственных органов власти, финансовых учреждений и крупных предприятий, в том числе и международных аэропортов, подверглись массированной кибератаке.

Полиция получила более 2 тысяч обращений из-за кибератаки.

По данным компании ESET, разрабатывающей программное обеспечение для борьбы с вредоносными компьютерными программами, на Украину пришлось 75% атак вируса Petya.



Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Нейросеть защитит женщин от нежелательных фотографий пенисовНейросеть защитит женщин от нежелательных фотографий пенисов
В Google Chrome теперь можно отправлять веб-страницы на другие устройстваВ Google Chrome теперь можно отправлять веб-страницы на другие устройства
iOS 13 выйдет 19 сентября, iPadOS — 30 сентября, macOS Catalina задерживаетсяiOS 13 выйдет 19 сентября, iPadOS — 30 сентября, macOS Catalina задерживается
Блок рекламы


Похожие новости

В Google Chrome теперь можно отправлять веб-страницы на другие устройстваВ Google Chrome теперь можно отправлять веб-страницы на другие устройства
Microsoft тестирует обновленный Edge. Браузер можно скачать на Windows и macOSMicrosoft тестирует обновленный Edge. Браузер можно скачать на Windows и macOS
В Google Chrome теперь можно переопределять геолокацию для тестирования сайтовВ Google Chrome теперь можно переопределять геолокацию для тестирования сайтов
Microsoft рассказала о «современной ОС» с незаметными обновлениямиMicrosoft рассказала о «современной ОС» с незаметными обновлениями
GitHub запустил пожертвования — можно поддержать open source разработчиковGitHub запустил пожертвования — можно поддержать open source разработчиков
Последнее обновление Windows 10 снижает производительность в играхПоследнее обновление Windows 10 снижает производительность в играх
Киберполиция задержала жителя Днепра за продажу компьютерных вирусовКиберполиция задержала жителя Днепра за продажу компьютерных вирусов
Сломать ноутбуки Lenovo ThinkPad можно одной настройкой BIOSСломать ноутбуки Lenovo ThinkPad можно одной настройкой BIOS
Торрент-клиент uTorrent получил веб-версию. Можно скачивать и смотреть файлы в браузереТоррент-клиент uTorrent получил веб-версию. Можно скачивать и смотреть файлы в браузере
Украинский IT-специалист написал книгу по программированию для новичков. Ее можно скачать бесплатноУкраинский IT-специалист написал книгу по программированию для новичков. Ее можно скачать бесплатно
Последние новости

Подгружаем последние новости