04.07.2017

Рекомендации по восстановлению ПК после атаки Petya от Киберполиции

Все мы прекрасно помним, какой ущерб нанес вирусный код под названием Petya. Самое ужасное, что такая вирусная атака была неожиданной и показала, насколько уязвимыми являются ПК.

Представители украинской киберполиции сообщили об исследовании работы вируса Petya и вариантах возвращения доступа к системе при частичных поражениях этой программой.

Варианты вмешательства этого вирусного кода:
· ПК заражены и данные полностью зашифрованы;
· ПК заражены и частично зашифрованы;
· ПК заражены, но шифрование таблицы MFT еще не началось.

Было отмечено, что если в первом случае пока что не найдено метода, что гарантированно расшифрует важные данные, то в двух других есть шанс восстановления, потому как таблица разметки MFT пострадала или пострадала только частично. Другими словами, восстановив сектор загрузки MBR системы, устройство включается и сможет функционировать, как это было ранее.
Программа Petya действует в несколько этапов. Сперва вирус получает админ права. При этом он сохраняет изначальный сектор загрузок для ОС в зашифрованном виде битовой операции XOR, а потом записывает собственный файл на место вышеуказанного сектора. На этом этапе создается текстовый файл о шифровании. Но на самом деле информация пока еще не была зашифрована. После перезагрузки наступает второй этап работы модифицированной программы, происходит обращение на отдел, в котором установлен флаг, что информация еще не зашифрована и их нужно зашифровать. После этого начинается шифрование информации. При этом процесс имитирует вид работы программы Check Disk.

57_mainСпециалисты из киберполиции предлагают советы для возвращения доступа к разным версиям Windows.  Только реализовать подобное возможно, если процесс шифрования был запущен, но был прекращен. Например, из-за внешних факторов (отключение питания и т.д.)
Рекомендации также подходят, если шифровательный процесс только начался, но не закончился и пользователь отключил ПК от питания на начальных процессах шифрования. В этом случае, после загрузки ОС, также надо применить ПО для восстановления файлов. Далее скопировать их на внешний носитель и перезагрузить систему.
Помимо этого отмечается, что если на компьютере используется программа восстановления данных, которая записывает свой загрузочный сектор, то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Важно помнить, что вирусные атаки – серьезная проблема для всех компаний. Шифрование данных может легко и быстро оставить сотрудников компаний без важных для работы данных. Во избежание этого, необходимо максимально защитить свой компьютер с помощью антивирусных систем и не открывать файлы неизвестного происхождения и расширения.
В свою очередь ICS Technologies International предлагает решения для конфиденциальности ваших корпоративных данных.