Захист інформації

Етапи пошкодження комп’ютерів вірусом NotPetya

Шифрувальник NotPetya, який зашифрував і заблокував тисячі комп'ютерів по всьому світу насправді є кіберзброєю, яка, при повному проходженні циклу, призначена для диверсії і знищення даних на комп'ютерах.

  1. При потраплянні та запуску NotPetya комп’ютер намагається перезаписати головний завантажувальний запис (MBR) диска, замінюючи його шкідливим кодом вірусу NotPetya з завантажувальним блоком та перезавантажує комп’ютер.
  2. Після перезавантаження Жертва бачить екран з вимогою викупу і з набором символів (ідентифікатором), який пропонується надіслати зловмисникам для розшифровки конкретної машини.
  3. В цей час вірус NotPetya шифрує файли на диску за допомогою алгоритмів AES + RSA 256 bit (шифрування відбувається не більше 5 хв, також шифруються дані тільки створені з 08.2015-2017 роки).
    Якщо при відображені на екрані цього вікна вимкнути комп’ютер, то відновлення даних можливо на 70-100%.
  4. Також вірус NotPetya встановлює задачу на виконання перезавантаження кожен час (задача циклічна).
  5. Після перезавантаження на екрані відображається операція типу CHKDSK, але в цей час вірус NotPetya з нульового сектора HDD починає шифрувати головну файлову таблицю (MFT) в розділах NTFS.

Якщо атакований комп'ютер пройшов всі ці етапи, то відновити MFT можливо лише на 40%.

Кожна жертва бачить спеціальний ідентифікатор, який творці NotPetya пропонують використовувати для дешифрування файлової таблиці. Однак цей ідентифікатор - це просто безглуздий набір символів, який не може ідентифікувати жертву.

Однак є ще один сценарій атаки: якщо вірус NotPetya атакує машину у користувача, який немає адміністраторських прав, то у нього не вийде перезаписати MBR і зашифрувати MFT, в такому випадку він переходить на другий етап і починає шифрувати файли. У цьому сценарії жертва побачить іншу заставку та інший ідентифікатор зараження, ніж в разі повного циклу атаки.

В такому випадку цей ідентифікатор - не набір випадкових знаків, а дані необхідні для розшифровки. При цьому відновити MFT можливо на 90-100%.

Якщо у Вас виникли дані проблеми, Ви можете звернутися до нас.

Центр інноваційних технологій «ПРОГРАМА» Вам обов'язково допоможе у відновленні пошкодженної та зашифрованої інформації після вірусних атак.

Також Центр інноваційних технологій «ПРОГРАМА» проводить діагностику та надає висновки, щодо працеспроможності вашого комп'ютерного парку після зовнішнього втручання вірусами.

ВАС ЦЕ ЗАЦІКАВИЛО?
ЗВ'ЯЖІТЬСЯ З НАМИ

Центр інноваційних технологій «ПРОГРАМА» надає послуги з інформатизації на IT-ринку України. Ми зібрали не тільки професійних програмістів, але й фахівців, що мають навички управління процесами, ресурсами, ризиками. Згуртована і професійна команда досвідчених, висококваліфікованих фахівців здатна вирішувати найскладніші задачі, що вимагають нестандартних підходів і компетентності — від консалтингу до автоматизації бізнес-процесів.

НАША АДРЕСА

04073

Україна

м. Київ, вул.Сирецька, 35

Надішліть
повідомлення

Tel: +38(044)4994020

Mob: +38(044)6052050

Email: office@cit-program.com

Web: www.cit-program.com

РОБОЧИЙ ЧАС

ПОНЕДІЛОК - П'ЯТНИЦЯ

10:00 - 18:30

МИ
НА КАРТІ

team-member1
Розробка програмного забезпечення
+380444994020
development@cit-program.com
team-member2
Створення Web-сайтів
+380444994020
web@cit-program.com
team-member3
Встановлення та обслуговування охоронних систем
+380444994020
security@cit-program.com
team-member4
IT - аутсорсинг
+380444994020
itoutsourcing@cit-program.com