Кіберполіція встановила три варіанти втручання троянської програмою Petya та розповіла, у яких випадках інформацію на комп’ютері можна відновити.
Про це повідомляє прес-служба відомства, передає УНН.
Кіберполіція у процесі дослідження вірусу Petya та його шкідливої дії на комп’ютери користувачів виявила декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора).
У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
У другому випадку комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори, наприклад вимкнення живлення, припинили процес шифрування.
Читайте ще: "Люди відкрили заражений файл, бо він не відрізнявся від тих, які отримують щодня", - фахівець про Petya.А
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.
У кіберполіції зазначили, що у тому, що стосується першого сценарію – на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ-компаній.
У той же час у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, у кіберполіції встановили, що троянська програма Petya працює в кілька етапів.
Вам буде цікаво: В Кабміні кажуть про другу хакерську атаку
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.
Якщо ви помітили помилку на цій сторінці, виділіть її і натисніть Ctrl + Enter
