Кіберполіція встановила три варіанти втручання троянської програмою Petya та розповіла, у яких випадках інформацію на комп’ютері можна відновити. Про це повідомляє прес-служба відомства.
Кіберполіція у процесі дослідження вірусу Petya та його шкідливої дії на комп’ютери користувачів виявила декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора).
У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
У другому випадку комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори, наприклад вимкнення живлення, припинили процес шифрування.
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.
У кіберполіції зазначили, що у тому, що стосується першого сценарію – на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ-компаній.
У той же час у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, у кіберполіції встановили, що троянська програма Petya працює в кілька етапів.
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.