Скорая компьютерная помощь в Кривом Роге
UA MarketКривой РогСкорая компьютерная помощь в Кривом Роге с выездом на дом и по удалёнке.НовостиКак вернуть доступ к компьютеру, зараженному вирусом PETYA
- Скорая компьютерная помощь в Кривом Роге с выездом на дом и по удалёнке.
- Эдуард Николаевич Бурнашов
- +38 (098) 730-55-14
Киевстар - Написать нам
- Генерала Радиевского 1, Кривой Рог 50008
- График работы
Как вернуть доступ к компьютеру, зараженному вирусом PETYA
Департамент киберполиции Национальной полиции Украины опубликовал рекомендации по восстановлению доступа к компьютерам, которые были поражены в результате недавней кибератаки вируса-шифровальщика Petya.A.
В процессе детального изучения вредоносного ПО исследователями было установлено три основных сценария его воздействия (при запуске от имени администратора):
Система скомпрометирована полностью. Для восстановления данных требуется закрытый ключ, а на экране при запуске отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки.
Компьютеры заражены, частично зашифрованы, система начала процесс шифрования, но внешние факторы (отключение питания и т.д.) прекратили процесс шифрования.
Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Восстановление доступа возможно только в последних двух случаях, тогда как действенного способа восстановления полностью скомпрометированных систем пока, к сожалению, нет. Его поиском сейчас активно занимаются специалисты Департамента киберполиции, СБУ, Госспецсвязи Украины, отечественных и международных IT-компаний.
Исследователи выделили два основных этапа работы модифицированной троянской программы «Petya»:
Первый: получение привилегированных прав (прав администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем подменяет вышеуказанный сектор модифицированным загрузчиком, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.
Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором содержится отметка, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.
Если сами не справитесь - звоните !
05 июля 2017
