Эксперты заявили, что зашифрованные вирусом Petya.C данные невозможно расшифровать
Эксперты по кибербезопасности заявили, что вирус Petya.C, поразивший компании по всему миру — не вымогатель, а намеренно деструктивная программа. По словам исследователей, заражённую систему при определённых условиях можно перезапустить, но восстановить зашифрованные файлы не удастся.
О том, что программа является не вымогателем, а разрушителем, в своём Telegram-канале «Сайберсекьюрити и Ко» рассказал IT-эксперт Александр Литреев.
По его словам, был единственный способ спасти данные — выключить компьютер при первых признаках заражения. Если же этого не было сделано, данные вернуть не удастся.
К такому же выводу пришли эксперты из компании Positive Technologies. В своём блоге на «Хабрахабре» они детально рассказали о вирусе и схеме его работы.
После запуска вредоносного файла создаётся отложенная задача на перезагрузку компьютера. По словам Positive Technologies, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС.
После этого заражённую систему удастся восстановить, но расшифровать данные всё равно не получится. Это подтвердили и в СБУ Украины.
Для каждого диска вирус генерирует свой закрытый ключ, который затем удаляется.
Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.
Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).
Теоретически можно было получить ключ, заплатив злоумышленникам. Но в настоящее время платить выкуп бесполезно, поскольку адрес [email protected], по которому можно было связаться с авторами трояна, уже заблокирован.
Эксперты из «Лаборатории Касперского» также заявили, что у жертв хакеров изначально не было возможности расшифровать данные. Создатели вируса просто не закладывали идентификатор конкретной установки трояна. То есть, даже получив выкуп не смогли бы выслать дешифровщик.
Эксперты из международной компании Eset нашли источник распространения вируса. По их словам, причиной эпидемии стало украинское бухгалтерское программное обеспечение M.E.Doc. Эту информацию подтвердили в Microsoft.
По мнению «Сайберсекьюрити и Ко», «атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и государственный аппарат». Литреев также добавил, что «вредоносная программа пришла со стороны одной из стран СНГ».
27 июня сети многих российских и украинских компаний поразил вирус-шифровщик. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в размере 300 долларов в биткоинах. Позднее эксперты заявили, что троян не связан с вирусом-вымогателем WannaCry.