Анализ действий вируса Petya

Сообщаем вам, что по результатам проведенного нами анализа вирус Petya не шифрует и не повреждает:

• файлы резервных копий баз данных M.E.Doc (.ZBK);
• файлы секретных ключей (.ZS2).

Рекомендация системным администраторам – при повреждении информации вирусом сохранить информацию с поврежденных компьютеров перед переустановкой операционной системы!

Если вирус повредил главную загрузочную запись (MBR) или таблицу размещения файлов (MFT), данные на диске могут быть не видны, но физически они не удалены. Воспользуйтесь одной из программ для восстановления данных, чтобы вернуть доступ к файловой системе.

Обращаем внимание клиентов АЦСК на то, что если вам удалось сохранить файлы секретных ключей (.ZS2), нет необходимости блокировать сертификаты и получать их заново. Вы можете использовать свои старые ключи после восстановления работоспособности программы M.E.Doc.

Также обращаем ваше внимание на тот факт, что при шифровании больших файлов (например, баз данных или больших архивов) вирус повреждает только 1 МБ в начале файла, и иногда есть шанс «вытащить» хотя бы часть информации из поврежденного файла.

Зашифрованные данные не спешите уничтожать, сохраните их копию вместе с файлом README.TXT, содержащим требования злоумышленников (в файле находится зашифрованный сеансовый ключ, уникальный для каждого диска). Хотя получить ключ расшифрования в настоящее время невозможно, есть вероятность, что через некоторое время ключ будет опубликован разработчиками (такое уже происходило несколько раз с подобными вредоносными программами).

Кроме того, в некоторых случаях можно использовать программы для восстановления данных, чтобы найти на диске фрагменты исходных файлов (например, документов), которые были зашифрованы вирусом. Операционная система иногда записывает новый (зашифрованный) файл в другое место, и фрагменты небольших документов в ряде случаев можно восстановить.