Комментарии 30
Думаю, товарищи из Petya уже сделали удобные ссылочки в onion в замену почты. И собственно какие есть варианты, кроме оплаты, если свежие данные ценнее 300уе?
Есть возможность отличить зашифрованные файлы на диске? Есть несколько частично зашифрованных машин. Необходимо извлечь уцелевшие файлы.
В случае шифрованием Петей, файлы не шифрованы, только mft. Способы извлечь файлы в статье описаны.
На наших системах зашифрованы именно файлы. Доступ к файлам есть, но содержимое нечитаемо.
изучил 5 зашифрованных машин. На некоторых MFT нешифрован, на некоторых — шифрован. Независимо от шифрования MFT — файлы из списка — зашифрованы также, но не все. В одном каталоге могут быть и зашифрованные и незашифрованные *.doc.
Я по изученным машинам вижу только два способа — по времени модификации и по анализу содержимого. Первый вариант можно отработать любым файловым менеджером сортировкой по дате. Второй — сложнее, нужно использовать инструменты восстановления с валидацией содержимого файлов. Как вариант — можно глянуть Image Explorer от Soft-center.
MBR, MBR, MBR… Про GPT ни слова.
Это значит, что GPT «неуязвимы», или не значит?
Это значит, что GPT «неуязвимы», или не значит?
Мы точно не знаем, есть догадки.
То есть никем не проверялось?
В нескольких статьях здесь и на гике упоминалось или «записывает в MBR» или «шифрует MBR». Много комментариев «у меня в конторе заразились», но никто не упоминает MBR или GPT, хотя это довольно интересно.
В нескольких статьях здесь и на гике упоминалось или «записывает в MBR» или «шифрует MBR». Много комментариев «у меня в конторе заразились», но никто не упоминает MBR или GPT, хотя это довольно интересно.
Убивает, а именно переписывает первые 10 секторов мусором в случае не MBR-таблицы. А еще он VBR грохает, вы тушку не смотрели, а уже «Recovery is possible». Фу так делать.
в GPT также присутствует защитный MBR, потому для криптора ситуация ничем не отличается. Кроме того, что он затрет своим телом и баннером первичный GPT.
А если система на FAT32? А если на ReFS?
«После шифрования все ссылки на файлы в MFT оказываются зашифрованы, но содержимое файлов остается неизменным»…
Не соглашусь.
Жесткий диск с 2мя разделами — С,D. C — системный, D — данные пользователя.
После заражения вирусом, диск С в WinPE диске отображается как диск в формате RAW, на диске D вижу файлы пользователя, могу скопировать их на флешку например. Но скопированный файл Word отказывается открывать, пишет, что файл поврежден. Т.е. получается, что содержимое файлов все таки изменяется вирусом.
Не соглашусь.
Жесткий диск с 2мя разделами — С,D. C — системный, D — данные пользователя.
После заражения вирусом, диск С в WinPE диске отображается как диск в формате RAW, на диске D вижу файлы пользователя, могу скопировать их на флешку например. Но скопированный файл Word отказывается открывать, пишет, что файл поврежден. Т.е. получается, что содержимое файлов все таки изменяется вирусом.
Файлы шифруются в любом случае. MFT если получится получить админ права и изменить загрузчик. Тут все написано ссылка
Почту Petya заблокировали? Теперь выкуп не перевести если файлы заражены?
У меня на виртуальной машине есть вирус до запуска, файлы еще не зашифрованы. Если ее запустить начинается процесс шифрования. На этом этапе можно как-то выделить ключи шифрования и сделать дешифратор?
Обычно шифровальщики генерируют разные ключи у разных пользователей, и так просто дешифратор не написать. В случае с notPetya процесс шифрования и вовсе необратим.
Расшифруйте файлы, точнее даже не надо расшифровывать. Наткнулся на материал про Petya который возможно работает!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
PETYA malware. Recovery is possible