PETYA malware. Recovery is possible
Комментарии (14)
28 июня 2017 в 18:52
0↑
↓
Думаю, товарищи из Petya уже сделали удобные ссылочки в onion в замену почты. И собственно какие есть варианты, кроме оплаты, если свежие данные ценнее 300 у.е.?28 июня 2017 в 19:16
0↑
↓
Есть возможность отличить зашифрованные файлы на диске? Есть несколько частично зашифрованных машин. Необходимо извлечь уцелевшие файлы.28 июня 2017 в 19:16
0↑
↓
В случае шифрованием Петей, файлы не шифрованы, только mft. Способы извлечь файлы в статье описаны.28 июня 2017 в 19:20
0↑
↓
На наших системах зашифрованы именно файлы. Доступ к файлам есть, но содержимое нечитаемо.28 июня 2017 в 19:45
0↑
↓
Рекомендуем не использовать загруженную с зашифрованного вредоносом диска операционную систему и попытаться восстановить файлы различными способами. Также попробуйте изучить теневые копии.Это общая рекомендация. Если у нас будет что-то, что поможет решить вашу проблему, мы вам сообщим.
28 июня 2017 в 19:52
0↑
↓
Спасибо. Диск был изъят и подключен к другой системе.
28 июня 2017 в 19:37
0↑
↓
MBR, MBR, MBR… Про GPT ни слова.
Это значит, что GPT «неуязвимы», или не значит?28 июня 2017 в 19:46
0↑
↓
Мы точно не знаем, есть догадки.28 июня 2017 в 19:51
0↑
↓
То есть никем не проверялось?
В нескольких статьях здесь и на гике упоминалось или «записывает в MBR» или «шифрует MBR». Много комментариев «у меня в конторе заразились», но никто не упоминает MBR или GPT, хотя это довольно интересно.28 июня 2017 в 20:29
0↑
↓
Проверялось. Херит он GPT, равно как и VBR.28 июня 2017 в 20:34
0↑
↓
Оппа! То есть, вероятность потерять раздел, из wine, имея GPT таки присутствует?28 июня 2017 в 20:36
0↑
↓
Если прав хватит и запустится — да. И я бы сказал не вероятность, у него четкая проверка: не MBR — пишет мусор.
28 июня 2017 в 20:28
0↑
↓
Убивает, а именно переписывает первые 10 секторов мусором в случае не MBR-таблицы. А еще он VBR грохает, вы тушку не смотрели, а уже «Recovery is possible». Фу так делать.28 июня 2017 в 20:35
0↑
↓
Вы еще скажите, что и без MBR нельзя файлы восстановить :-)