Восстановление данных в России и СНГ
Малая Пироговская, 18с1, офис 406
Пн-Пт 9:00 - 21:00, Сб-Вс 9:00 - 17:00

Ваш город - Москва?

Круглосуточный телефон

Восстановление данных после вируса-шифровальщика Petya

27 июня 2017 началась эпидемия вируса-шифровальщика Petya (версия 2017 года). 

Подробнее в новостях: #PetyaЯндекс НовостиSecurelist (EN), Malwarebytes Labs.

источник: //securelist.com/schroedingers-petya/78870/

Вирус Petya – требование выкупа для расшифровки

Через несколько часов после начала атаки в DATARC поступило первое обращение и мы проанализировали несколько пораженных серверов. Главный вывод: есть ненулевая вероятность восстановления данных при атаке вируса Petya – вирус часто повреждает файловую систему, но не шифрует данные.

На данный момент проанализированные повреждения можно разделить на категории.

Возможно 100% восстановление данных

Вероятно, в вирусе есть ошибки – он не всегда выполняет свой алгоритм, не успевает зашифровать данные, ломает загрузчик. Мы видели такие варианты повреждений:

  1. Данные не зашифрованы, поврежден MBR
  2. Данные не зашифрованы, поврежден MBR + NTFS bootloader
  3. Данные не зашифрованы, поврежден MBR + NTFS bootloader + MFT – диск определяется как RAW

Восстановление данных возможно, потери больше 0%

В тех случаях, когда шифрование происходит, часть файлов может остаться неповрежденной. Мы видели такие варианты повреждений:

  1. Шифруется только диск C: – остальные логические диски остаются в порядке
  2. Шифруются не все файлы на диске C:
  3. Шифруется только запись MFT, содержимое файла остается без изменений.

Расшифровка от старой версии не работает

Текущая версия Petya – это (предположительно) продолжение атаки 2016 года (см https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ и https://securelist.com/petya-the-two-in-one-trojan/74609/). Для старой версии была создана методика подбора ключа расшифровки (см https://github.com/leo-stone/hack-petya). Вирус 2017 года был изменён и старая методика не работает.

Например, в старой версии вируса MBR сохранялся в сектор 55 и “шифровался” XOR 0x37. В новой версии MBR сохраняется в сектор 34 и “шифруется” XOR 0x07.

Зашифрованный MBR: 

Вирус Petya сохраняет MBR в сектор 34 и шифрует XOR 0x07

Вирус Petya сохраняет MBR в сектор 34 и шифрует XOR 0x07

Расшифрованный MBR:

Вирус Petya - MBR после расшифровки

Вирус Petya – MBR после расшифровки

Что делать, если компьютер заражен

  • Не выплачивать выкуп – email [email protected] уже деактивирован и вы не сможете получить ключ.
  • Выключить компьютер, если после перезагрузки запускается checkdsk – вирус эмулирует его интерфейс и шифрует данные.
    источник: //blog.malwarebytes.com/cybercrime/2017/06/petya-esque-ransomware-is-spreading-across-the-world/

    процесс шифрования Petya эмулирует CHKDSK

  • Загрузиться с Live CD и попробовать восстановить данные на исправный носитель с помощью любой доступной программы восстановления данных

Что делать для предотвращения заражения

Есть несколько рекомендаций от вирусологов, которые анализируют код вируса:

Если вам требуется помощь для восстановления данных после атаки вируса Petya – обращайтесь в DATARC – проконсультируем и поможем восстановить.

Закажите восстановление данных

Закажите бесплатную диагностику