Інформацію на деяких комп'ютерах, які піддалися атаці модифікованої троянської програми Petya відновити все ж можна. Як це зробити розповіли у Кіберполіції.
Згідно із повідомленням, кіберполіція у процесі дослідження вірусу Petya та його шкідливої дії на комп’ютери користувачів виявила декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора).
Зазначається, що у першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
"У другому випадку комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори, наприклад вимкнення живлення, припинили процес шифрування", – додали у відомстві.
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.
У кіберполіції зазначили, що у тому, що стосується першого сценарію – на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ-компаній.
У той же час у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, у кіберполіції встановили, що троянська програма Petya працює в кілька етапів.
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.
Нагадаємо, 27 червня в Україні сталася масштабна хакерська атака, внаслідок якої невідомим вірусом уражено українські банки, державні та комерційні підприємства. За даними СБУ, переважна більшість інфікувань операційних систем відбувалася через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур. Кіберполіція та Служба безпеки надали рекомендації щодо захисту від вірусу. Крім того, у низці країн Європи та Азії, а також у Росії теж заявили про втручання хакерів.
Як повідомлялось, Служба безпеки України встановила причетність російських спецслужб до атаки вірусу Petya.A