Расшифровать захваченные вирусом Petya данные нереально — специалисты

Новости. » » Расшифровать захваченные вирусом Petya данные нереально — специалисты

Киберполиции установила три варианта вмешательства троянской программой Petya и поведала, в каких случаях информацию на компьютере можно восстановить. 2-ой – компьютеры заражены, частично зашифрованы, сСистема начала процесс шифрования, однако внешние факторы закончили процесс шифрования. Об этом передает pr-служба киберполиции Украины. 1-ый – компьютеры заражены и зашифрованные (система на все 100% скомпрометирована), восстановление содержания требует знания закрытого ключа.

Напомним, вирус шифровал файлы на зараженном компьютере и выводил на дисплей оповещение с требованием перевести 300 долларов в биткоинах на указанный адрес.

Во втором случае компьютеры заражены, частично зашифрованы.

В киберполиции привели рекомендации для обновления доступа к пораженному вирусом ОС при условии, что процесс шифрования была запущена, однако внешние факторы (например отключение питания и т. д.) закончили процесс шифрования; либо ежели процесс шифрования таблицы MFT еще не начался из-за причин, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и т. д.).

Компьютер заражен, однако процесс шифрования таблицы MFT еще не начался. Затем, ежели жесткие диски не зашифрованы, то загрузочная ОС увидит их и можно приступить к процессу восстановления MBR.

При таком сценарии киберполиция не установила метода, который гарантировано расшифровывает данные.

В случае, ежели компьютеры заражены, частично зашифрованы, система начала процесс шифрования, однако внешние факторы (отключение питания и т. д.) закончили процесс шифрования, либо ежели процесс шифрования еще не начался, то существует шанс восстановить информацию, «так как таблица разметки MFT не нарушена либо нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать». Вирус удерживает уникальный загрузочный сектор для ОС (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а потом записывает собственный загрузчик на место вышеуказанного сектора, другие кода трояна записывается в первые сектора диска.

Таким образом, в киберполиции установили, что троянская программа Petya работает в несколько этапов. На этом этапе создается текстовый файл о шифровании, однако данные еще не зашифрованы.

Ежели во время шифрования файлов вирусом Petya процесс прервали, то существует вероятность восстановления системы.

Вирус NotPetya не умеет обратно расшифровывать диски

Поделиться с друзьями!

<<
>>



Интересные новости и статьи:


Последние публикации: