Кіберполіція пояснила, що робити з комп'ютером після атаки «Petya.A»

Главное фото новости
Фото: google.com.ua
Колектив підрозділів інформаційних технологій та програмування Департаменту кіберполіції надала рекомендації для відновлення частково зашифрованих даних, що постраждали від атаки вірусу-здирника «Petya.A».

У повідомленні зазначається, що в процесі дослідження вірусу «Petya» та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання.

Система повністю скомпрометована. Комп’ютери заражені і зашифровані. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.

Другий: к
омп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Варіант третій - к
омп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Читайте також:
Важливо! Кібератака у Кривому Розі

Що стосується першого варіанту - нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково. Це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска.

На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані. Проте, це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Читайте також: Вірус-вимагач захопив Україну. Кривий Ріг у списку інфікованих

Після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи.

У кіберполіції порекомeндували провести певні дії для перевірки та відновлення зашифрованої інформації:

-завантажитись з інсталяційного диску Windows Вашого ПК;

-після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

-провести процедури відновлення MBR.


Вказані дії актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування.

В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми «M.E.doc», ніякої інформації не передавалось.



Если Вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.


Комментарии

худой
  • 0
  • 0
  • Ответить

Можно лоб зеленкой намазать...

серега бухантин
  • 14
  • 3
  • Ответить

Покрасить системник в жовто блакытный и всё будет замечательно.

Александр
  • 2
  • 1
  • Ответить

На открытую рану зелёнку не наносят.

Pensioner
  • 0
  • 0
  • Ответить

Лучше йоду выпить.

Настоящий Кривой Рог 2.0
  • 7
  • 1
  • Ответить

"завантажитись з інсталяційного диску Windows Вашого ПК" - идиотизм, грузимся с нормального Live CD - антивирус - восстановление файлов (если возможно) - восстановление загрузки (переустановка Винды). И обновитесь до 10-ки наконец-то!

Pensioner
  • 0
  • 0
  • Ответить

Говно - эта ваша десятка! Хреновая модификация говновосьмерки.

Viktor
  • 21
  • 5
  • Ответить

Компьютер блокируетмя и выскакивает табличка с требованием купить кило конфет "рошен". После предоставления чека о покупке, компьютер благополучно продолжает работать в штатном режиме )))))

Krivbassovec
  • 20
  • 3
  • Ответить

Эти гребаные Пети уже задрали, что один, что другой!

Владислав ...
  • 4
  • 8
  • Ответить

Так и скажи ето тем петям которые тебе драли.

Загрузка...

Telegram чат Кривого Рога

Мы в социальных сетях
Мы в Facebook

Украина