Захист інформації

Етапи пошкодження комп’ютерів вірусом NotPetya

Шифрувальник NotPetya, який зашифрував і заблокував тисячі комп'ютерів по всьому світу насправді є кіберзброєю, яка, при повному проходженні циклу, призначена для диверсії і знищення даних на комп'ютерах.

1. При потраплянні та запуску NotPetya комп’ютер намагається перезаписати головний завантажувальний запис (MBR) диска, замінюючи його шкідливим кодом вірусу NotPetya з завантажувальним блоком та перезавантажує комп’ютер.
2. Після перезавантаження Жертва бачить екран з вимогою викупу і з набором символів (ідентифікатором), який пропонується надіслати зловмисникам для розшифровки конкретної машини.
   
3. В цей час вірус NotPetya шифрує файли на диску за допомогою алгоритмів AES + RSA 256 bit (шифрування відбувається не більше 5 хв, також шифруються дані тільки створені з 08.2015-2017 роки).
   Якщо при відображені на екрані цього вікна вимкнути комп’ютер, то відновлення даних можливо на 70-100%.
4. Також вірус NotPetya встановлює задачу на виконання перезавантаження кожен час (задача циклічна).
5. Після перезавантаження на екрані відображається операція типу CHKDSK, але в цей час вірус NotPetya з нульового сектора HDD починає шифрувати головну файлову таблицю (MFT) в розділах NTFS.
   

Якщо атакований комп'ютер пройшов всі ці етапи, то відновити MFT можливо лише на 40%.

Кожна жертва бачить спеціальний ідентифікатор, який творці NotPetya пропонують використовувати для дешифрування файлової таблиці. Однак цей ідентифікатор - це просто безглуздий набір символів, який не може ідентифікувати жертву.

Однак є ще один сценарій атаки: якщо вірус NotPetya атакує машину у користувача, який немає адміністраторських прав, то у нього не вийде перезаписати MBR і зашифрувати MFT, в такому випадку він переходить на другий етап і починає шифрувати файли. У цьому сценарії жертва побачить іншу заставку та інший ідентифікатор зараження, ніж в разі повного циклу атаки.

В такому випадку цей ідентифікатор - не набір випадкових знаків, а дані необхідні для розшифровки. При цьому відновити MFT можливо на 90-100%.

Якщо у Вас виникли дані проблеми, Ви можете звернутися до нас.

Центр інноваційних технологій «ПРОГРАМА» Вам обов'язково допоможе у відновленні пошкодженної та зашифрованої інформації після вірусних атак.

Також Центр інноваційних технологій «ПРОГРАМА» проводить діагностику та надає висновки, щодо працеспроможності вашого комп'ютерного парку після зовнішнього втручання вірусами.