Эксперты узнали о невозможности расшифровать захваченные Petya данные

17:25 29/06/2017 Интернет и СМИ
Эксперты узнали о невозможности расшифровать захваченные Petya данные
Эксперты установили, что вирус-вымогатель Petya, поразивший компьютеры компаний на Украине, в России и других странах, не предполагает восстановление зашифрованных данных даже после оплаты выкупа. Выяснилось, что в коде вируса содержится ошибка, которая не позволяет расшифровать информацию.
Читать все комментарии(132)

Эксперты установили, что вирус-вымогатель Petya, поразивший компьютеры компаний на Украине, в России и некоторых других странах, не предполагает восстановление зашифрованных данных даже после оплаты выкупа. Об этом говорится в сообщении новостной службы «Лаборатории Касперского».

Выяснилось, что в коде вируса содержится ошибка, которая не позволяет расшифровать информацию.

«Мы проанализировали часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно», — отмечается в сообщении компании.

Кроме того, в коде был обнаружен элемент, отвечающий за уничтожение данных. Эксперты считают, что злоумышленники намеревались стереть информацию с компьютеров организаций, а требование выкупа было лишь прикрытием. По мнению специалиста из Comae Technologies Мэтта Суиша (Matt Suiche), распространители зловреда пытались запутать и жертв, и СМИ.

Ранее специалисты компании-разработчика антивирусного программного обеспечения ESET обнаружили, что вирус Petya распространился с помощью бухгалтерского программного обеспечения M.E.Doc., которым активно пользуются украинские компании.

Во вторник, 27 июня, вирус Petya начал активно распространяться по компьютерным сетям в России и на Украине. В частности, атаке подверглись Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold), «Запорожьеоблэнерго», «Укртелеком», а также была парализована работа Чернобыльской АЭС. Всего от рук хакеров пострадали более 80 организаций.

Вирус Petya проникал в корпоративные сети посредством фишингового письма, в котором содержалась вредоносная ссылка. При активации ссылки он блокировал компьютер и требовал выкуп в размере 300 долларов в биткоинах за восстановление доступа к нему.

Источник: https://lenta.ru/news/2017/06/29/petya_why/

Комментирование разрешено только первые 24 часа.

Комментарии(132):

12 3 456 ... +1
0 +0−0Юрий Устинов19:38:21
29/06/2017
0 +0−0Chrys Red19:28:36
29/06/2017
Ну и расскажите мне регулярная переписка предприятия- "ценный файл", который при каждом новом письме- нужно переписывать, или- "рутина"?
письма хранятся на почтовом ресурсе. на сервере почтового ящика. их всегда можно скачать если вы их не удалили оттуда. система тут ни какой роли не играет.
а если вы написали письмо и не отправляете - сохраняйте на флешку. если храните копии - тоже на флешку.
0 +0−0Chrys Red19:38:18
29/06/2017
0 +0−0Андрей Никитчук19:28:01
29/06/2017
Из спортивного интереса обычно пляшем. )
С винта со сгоревшим (перегревающимся) кэшем инфа доставалась путём установки на плату металлической кружки с холодной водой )
Что помогло фиг знает однако же... Хотя обычно если труп то оно сразу видно.
Нее.. Отпай из-за перегрева обычно виден по глюкавости винта до аварии.. Тут- просто перепай решает.
А вот реально-тяжёлые проблемы- интереснее.
0 +0−0Igor Voronov19:36:15
29/06/2017
1 +0−0Всеволод Волков18:06:30
29/06/2017
Обычно имена вирусам дают не их разработчики, а сотрудники антивирусных компаний.
Имя прописано в About =)
0 +0−0Юрий Устинов19:35:50
29/06/2017
0 +0−0Chrys Red19:25:19
29/06/2017
Ошибаетесь.
сам проверял. не ошибаюсь.
0 +0−0Chrys Red19:32:42
29/06/2017
-1 +0−0к - 32418:35:04
29/06/2017
Чтобы на будущее была возможность дешифровки можно применить следующий метод:
Использовать формат png (8R 8G 8B) т.к. в этом формате ничего не оптимизируется. И записать в каждый байт восходящую/нисходящую последовательность. Т.е. зашифровать последовательность от 0 до 255. Поскольку шифруется все однообразно, то потом можно будет изучить по изменениям, которым подвергся png файл.
Не учите хохлов жить.. Без них Мир- станет скучнее.
0 +0−0Украинец19:30:46
29/06/2017
То, что жалели денег-правда, скупые мои соотечественники. На шару только московиты нам подляны шарашат. Ничего, ещё не это пережили.
0 +0−0Chrys Red19:28:36
29/06/2017
0 +0−0Юрий Устинов19:03:40
29/06/2017
ценные файлы надо сразу сохранять на флешку. и отключать ее от компа.
Ну и расскажите мне регулярная переписка предприятия- "ценный файл", который при каждом новом письме- нужно переписывать, или- "рутина"?
0 +0−0Андрей Никитчук19:28:01
29/06/2017
0 +0−0Chrys Red19:24:30
29/06/2017
Перпендикулярная запись.
Фотки- чуть реальнее восстановить(JPEG- помогает). Видео-тоже. Два костыля- алгоритм поднятия данных плюс алгоритм шифрования.

Тут- просто похороны. Можно- сразу хоронить, можно- поплясать с гальванизацией дней ..ндцать, а потом уж- хоронить.
Из спортивного интереса обычно пляшем. )
С винта со сгоревшим (перегревающимся) кэшем инфа доставалась путём установки на плату металлической кружки с холодной водой )
Что помогло фиг знает однако же... Хотя обычно если труп то оно сразу видно.
0 +0−0Chrys Red19:25:19
29/06/2017
0 +0−0Юрий Устинов19:15:06
29/06/2017
переписка диска - падение уровня сигнала предыдущей кластерной сетки . 4 раза - полная гарантия что оттуда ничто не поднимется. даже восстановить ничего не возможно. цепочки файлов вроде есть, но в них по тысяче ошибок. это уже не файл а абракадабра
Ошибаетесь.
0 +0−0Chrys Red19:24:30
29/06/2017
0 +0−0Андрей Никитчук19:05:45
29/06/2017
Можно. Можно удалить раздел и восстановить. Можно форматнуть и восстановить но в любом случае вы восстановите уже шифрованный файл. Инфу выдрать сложнее. Чисто теоретически говорят что можно выдрать то что было перезаписано до 4-х раз. Я не очень представляю как это, но если приспичит то то что было переписано шифрованной версией видимо можно спасти. Однако это будет куча инфы с которой ещё разобраться надо. Восстанавливал я фотки из отформатированного раздела. Куча копий, невнятные названия, повреждённые файлы, структура каталогов лесом... Страшный сон...
Перпендикулярная запись.
Фотки- чуть реальнее восстановить(JPEG- помогает). Видео-тоже. Два костыля- алгоритм поднятия данных плюс алгоритм шифрования.

Тут- просто похороны. Можно- сразу хоронить, можно- поплясать с гальванизацией дней ..ндцать, а потом уж- хоронить.
0 +0−0Юрий Устинов19:23:07
29/06/2017
0 +0−0Андрей Никитчук19:20:25
29/06/2017
Да, я тоже сомневаюсь что после четырёхкратной перезаписи можно что-то внятное получить, но где-то такое слышал.
не верь. гарантия невосстановления.
0 +0−0Андрей Никитчук19:20:25
29/06/2017
0 +0−0Юрий Устинов19:15:06
29/06/2017
переписка диска - падение уровня сигнала предыдущей кластерной сетки . 4 раза - полная гарантия что оттуда ничто не поднимется. даже восстановить ничего не возможно. цепочки файлов вроде есть, но в них по тысяче ошибок. это уже не файл а абракадабра
Да, я тоже сомневаюсь что после четырёхкратной перезаписи можно что-то внятное получить, но где-то такое слышал.
0 +0−0Юрий Устинов19:19:18
29/06/2017
1 +0−0Chrys Red18:55:42
29/06/2017
Стереть диск Цэ- можно (-нужно) при установке новой Винды.
Диск Цэ и разделы восстановления.
Можно ещё винт молотком разбить. Данные Вы в обоих случаях- потеряли.
наверное только полный ...... будет хранить ценную инфу или файлы на компе подключенном к сети)))))
0 +0−0Юрий Устинов19:17:41
29/06/2017
0 +0−0Андрей Никитчук19:15:13
29/06/2017
А, ну если да, можно вернуть то что забэкапили. Я про вариант восстановления без копии. С бэкапами тоже бывают номера. Инфу повредили, не заметили и забэкапили с заменой предыдущего архива. Бывает и такое )
без копии не реально. это и школьники знают
единственный вариант заново установить.
0 +0−0Андрей Никитчук19:15:13
29/06/2017
0 +0−0Юрий Устинов19:13:01
29/06/2017
какой шифрованный файл? если образ сохранен за полгода до атаки. или за неделю. до того. и хранился не на зараженном компе?
А, ну если да, можно вернуть то что забэкапили. Я про вариант восстановления без копии. С бэкапами тоже бывают номера. Инфу повредили, не заметили и забэкапили с заменой предыдущего архива. Бывает и такое )
0 +0−0Юрий Устинов19:15:06
29/06/2017
0 +0−0Андрей Никитчук19:05:45
29/06/2017
Можно. Можно удалить раздел и восстановить. Можно форматнуть и восстановить но в любом случае вы восстановите уже шифрованный файл. Инфу выдрать сложнее. Чисто теоретически говорят что можно выдрать то что было перезаписано до 4-х раз. Я не очень представляю как это, но если приспичит то то что было переписано шифрованной версией видимо можно спасти. Однако это будет куча инфы с которой ещё разобраться надо. Восстанавливал я фотки из отформатированного раздела. Куча копий, невнятные названия, повреждённые файлы, структура каталогов лесом... Страшный сон...
переписка диска - падение уровня сигнала предыдущей кластерной сетки . 4 раза - полная гарантия что оттуда ничто не поднимется. даже восстановить ничего не возможно. цепочки файлов вроде есть, но в них по тысяче ошибок. это уже не файл а абракадабра
0 +0−0Юрий Устинов19:13:01
29/06/2017
0 +0−0Андрей Никитчук19:05:45
29/06/2017
Можно. Можно удалить раздел и восстановить. Можно форматнуть и восстановить но в любом случае вы восстановите уже шифрованный файл. Инфу выдрать сложнее. Чисто теоретически говорят что можно выдрать то что было перезаписано до 4-х раз. Я не очень представляю как это, но если приспичит то то что было переписано шифрованной версией видимо можно спасти. Однако это будет куча инфы с которой ещё разобраться надо. Восстанавливал я фотки из отформатированного раздела. Куча копий, невнятные названия, повреждённые файлы, структура каталогов лесом... Страшный сон...
какой шифрованный файл? если образ сохранен за полгода до атаки. или за неделю. до того. и хранился не на зараженном компе?
0 +0−0Andrey Z19:11:57
29/06/2017
1 +0−0Всеволод Волков18:06:30
29/06/2017
Обычно имена вирусам дают не их разработчики, а сотрудники антивирусных компаний.
сам придумал?
0 +0−0Андрей Никитчук19:05:45
29/06/2017
0 +0−0Юрий Устинов18:47:17
29/06/2017
а если файлы не суть важны, акронисом наверное можно переписать диск С
Можно. Можно удалить раздел и восстановить. Можно форматнуть и восстановить но в любом случае вы восстановите уже шифрованный файл. Инфу выдрать сложнее. Чисто теоретически говорят что можно выдрать то что было перезаписано до 4-х раз. Я не очень представляю как это, но если приспичит то то что было переписано шифрованной версией видимо можно спасти. Однако это будет куча инфы с которой ещё разобраться надо. Восстанавливал я фотки из отформатированного раздела. Куча копий, невнятные названия, повреждённые файлы, структура каталогов лесом... Страшный сон...
0 +0−0Юрий Устинов19:03:40
29/06/2017
0 +0−0Chrys Red18:58:09
29/06/2017
Вы- путаете бэкап ценных файлов и регулярный бэкап системы.
ценные файлы надо сразу сохранять на флешку. и отключать ее от компа.
12 3 456 ... +1
Самые
^^^Наверх^^^Обратная связь