Аналіз дій вірусу Petya

04 Липня 2017

Рекомендуємо змінити електронну пошту для роботи в M.E.Doc
M.E.Doc та його оновлення абсолютно безпечні

Повідомляємо вас, що за результатами проведеного нами аналізу вірус Petya не шифрує та не пошкоджує:

  • файли резервних копій баз даних M.E.Doc (.ZBK);
  • файли секретних ключів (.ZS2).

Рекомендація системним адміністраторам – за умови пошкодження інформації вірусом зберігати інформацію з пошкоджених комп’ютерів до перевстановлення операційної системи!

Якщо вірус пошкодив головний завантажувальний запис (MBR) або таблицю розташування файлів (MFT), дані на диску можуть не відображатися, але фізично вони не видалені. Скористайтеся однією з програм для відновлення даних, аби повернути доступ до файлової системи.

Звертаємо увагу клієнтів АЦСК на те, що якщо вам вдалося зберегти файли секретних ключів (.ZS2), то немає необхідності блокувати сертифікати та отримувати їх наново. Ви можете використовувати свої старі ключі після відновлення працездатності програми M.E.Doc.

Також звертаємо вашу увагу на той факт, що під час шифрування великих файлів (наприклад, баз даних або великих архівів) вірус пошкоджує лише 1 Мб на початку файлу, й інколи є шас “витягти” хоча б частину інформації з пошкодженого файлу.

Зашифровані дані не поспішайте знищувати, збережіть їх копію разом із файлом README.TXT, який містить вимоги зловмисників (у файлі знаходиться зашифрований сеансовий ключ, унікальний для кожного диску). Хоча отримати ключ розшифрування на даний час неможливо, є ймовірність, що через деякий час ключ буде опубліковано розробниками (таке вже відбувалося декілька разів із подібними шкідливими програмами).

Окрім того, в деяких випадках можна використати програми для відновлення даних, аби знайти на диску фрагменти вихідних файлів (наприклад, документів), які було зашифровано вірусом. Операційна система інколи записує новий (зашифрований) файл в інше місце, і фрагменти невеликих документів подекуди можна відновити.

 

Рекомендуємо змінити електронну пошту для роботи в M.E.Doc
M.E.Doc та його оновлення абсолютно безпечні