`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Киберполиция выпустила рекомендации по восстановлению ПК после атаки Petya

+11
голос

В Киберполиции Украины рассказали об их исследовании деятельности вируса Petya и способах восстановления доступа к операционной системе, в случае если она была частично поражена троянской программой.

В процессе исследования вируса выявлено несколько вариантов его вмешательства: компьютеры заражены и зашифрованны; компьютеры заражены и частично зашифрованы; компьютеры заражены, но процесс шифрования таблицы MFT еще не начался. Отмечается, что если в первом случае пока не установлено способа, который гарантированно проводит расшифровку данных, то в двух последних есть шанс восстановить информацию, так как таблица разметки MFT не нарушена или нарушена частично. Это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Модифицирована троянская программа Petya работает в несколько этапов. Сначала она получает права администратора. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0×7), а затем записывает свой загрузчик на место вышеуказанного сектора. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы. После перезагрузки наступает вторая фаза работы вируса, он обращается на свой конфигурационный сектор, в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

В Киберполиции приводят рекомендации для возобновления доступа к различным версиям операционной системы Windows, пораженной вирусом, при условии, что процесс шифрования был запущен, но внешние факторы (отключение питания и т.д.) прекратили процесс шифрования, или процесс шифрования таблицы MFT еще не начался из-за факторов, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО и т.д.).

Рекомендации также актуальны, если процесс шифрования был начат, но не закончен и пользователь отключил ПК от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, также надо воспользоваться программным обеспечением по восстановлению файлов, после чего скопировать их на внешний носитель и переустановить систему.

Также отмечается, что если на компьютере используется программа восстановления данных, которая записывает свой загрузочный сектор, то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT