Кіберполіція пояснила, що робити з комп'ютером після атаки «Petya.A»

Кіберполіція пояснила, що робити з комп'ютером після атаки «Petya.A»

Фото: google.com.ua

Колектив підрозділів інформаційних технологій та програмування Департаменту кіберполіції надала рекомендації для відновлення частково зашифрованих даних, що постраждали від атаки вірусу-здирника «Petya.A».

У повідомленні зазначається, що в процесі дослідження вірусу «Petya» та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання.

Система повністю скомпрометована. Комп’ютери заражені і зашифровані. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.

Другий: к
омп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Варіант третій - к
омп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Читайте також:
Важливо! Кібератака у Кривому Розі

Що стосується першого варіанту - нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково. Це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска.

На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані. Проте, це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Читайте також: Вірус-вимагач захопив Україну. Кривий Ріг у списку інфікованих

Після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи.

У кіберполіції порекомeндували провести певні дії для перевірки та відновлення зашифрованої інформації:

-завантажитись з інсталяційного диску Windows Вашого ПК;

-після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

-провести процедури відновлення MBR.


Вказані дії актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування.

В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми «M.E.doc», ніякої інформації не передавалось.


Комментарии (10)

Krivbassovec

11:20, 03 июля 2017

Эти гребаные Пети уже задрали, что один, что другой!

Владислав ...

12:08, 03 июля 2017

Так и скажи ето тем петям которые тебе драли.

Viktor

11:24, 03 июля 2017

Компьютер блокируетмя и выскакивает табличка с требованием купить кило конфет "рошен". После предоставления чека о покупке, компьютер благополучно продолжает работать в штатном режиме )))))

Настоящий Кривой Рог 2.0

11:34, 03 июля 2017

"завантажитись з інсталяційного диску Windows Вашого ПК" - идиотизм, грузимся с нормального Live CD - антивирус - восстановление файлов (если возможно) - восстановление загрузки (переустановка Винды). И обновитесь до 10-ки наконец-то!

Настоящий Кривой Рог 2.0

14:35, 03 июля 2017

МеДОК стоит?

серега бухантин

12:27, 03 июля 2017

Покрасить системник в жовто блакытный и всё будет замечательно.

серега бухантин

14:58, 03 июля 2017

Менделеев,ты уже пробовала?

Александр

18:10, 03 июля 2017

На открытую рану зелёнку не наносят.

Настоящий Кривой Рог 2.0

14:36, 03 июля 2017

Расшифровать можно, на обычном компьютере на это уйдет около 1000000 лет. Бекапы нужно делать, а кто не сделал - сам себе петрушка.

худой

04:15, 04 июля 2017

Можно лоб зеленкой намазать...

Ссылка скопирована в буфер обмена