Positive Technologies обнаружила способ восстановления данных, зашифрованных NotPetya
Эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya , от которого в конце июня пострадали компьютеры более 100 компаний России, Украины и других стран . Этот метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.
Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованых жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.<p>
Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.
«Восстановление данных с жесткого диска по этой методике требует применения эвристик и может занимать несколько часов, — рассказывает Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies. — Степень восстановления зависит от многих факторов (от размера диска, степени его заполнения и фрагментации) и может достигать 100% для дисков большого объема, содержащих много «публичных» файлов (компонентов операционной системы и программных продуктов, одинаковых на многих машинах)».
Ознакомиться с подробным исследованием можно в блоге Pоsitive Technologies на Хабрахабре.
Вирус NotPetya, также известный под множеством других имен — Petya, Petya.A, ExPetr и другими, начал распространяться 27 июня. Детальный разбор нового зловреда и рекомендации по борьбе с ним можно найти на сайте Positive Technologies: www.ptsecurity.com/ru-ru/about/news/283092/
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш