Новости uncategory вирусатакаукраина

В киберполиции Украины рассказали, как восстановить данные после атаки вируса Petya

base article image

Киберполиции установила три варианта вмешательства троянской программой Petya и рассказала, в каких случаях информацию на компьютере можно восстановить.

Об этом сообщает пресс-служба ведомства.

Киберполиция в процессе исследования вируса Petya и его вредного воздействия на компьютеры пользователей обнаружила несколько вариантов его вмешательства (в случае предоставления трояна при его запуске, прав администратора).

В первом случае компьютеры заражены и зашифрованы, система полностью скомпрометирована. Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.

Во втором случае компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы, например выключение, прекратили процесс шифрования.

В третьем случае компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

В киберполиции отметили, что в том, что касается первого сценария — в настоящее время пока не установлен способ, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, отечественных и международных ИТ-компаний.

В то же время в двух последних случаях есть шанс восстановить информацию на компьютере, поскольку таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Таким образом, в киберполиции установили, что троянская программа Petya работает в несколько этапов.

Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0×7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

Напомним, 27 июня 2017 года ряд государственных органов власти, финансовых учреждений и крупных предприятий, в том числе и международных аэропортов, подверглись массированной кибератаке.

Полиция получила более 2 тысяч обращений за кибератаки.

По данным компании ESET, которая разрабатывает программное обеспечение для борьбы с вредными компьютерными программами, на Украину пришлось 75% атак вируса Petya.

Напомним, 27 июня в Украине неизвестный вирус поразил компьютерные сети ряда крупных компаний, в том числе и больших государственных. Атака началась практически одновременно около 11:30. Вирус распространился очень быстро. Проявлялся в отказе работы компьютеров на платформе Windows. Перегружался и зашифровывался.

В связи с этим Совет нацбезопасности принял решение об усилении мер контртеррористического и контрразведывательного режима в Киеве и регионах Украины.

Отметим, к 27 июня компьютеры в офисах «Укрэнерго», «Новой почты», «Киевэнерго», «Ощадбанка», «Укртелекома» вышли из строя после поражения вирусом. На медиахолдинг ТРК "Люкс", в состав которого входят "24 Канал", национальная сеть радиостанций "Радио Люкс" и "Радио Максимум", а также ряд популярных интернет-сайтов, совершено сокрушительную вирусную атаку.

Оставайтесь в курсе событий.
Подписывайтесь на нас в социальных сетях.