PETYA malware. Recovery is possible28.06.2017 23:18

Комментарии (14)

JekaMas

28 июня 2017 в 18:52

0

↑

↓

Думаю, товарищи из Petya уже сделали удобные ссылочки в onion в замену почты. И собственно какие есть варианты, кроме оплаты, если свежие данные ценнее 300 у.е.?
Jek_Rock

28 июня 2017 в 19:16

0

↑

↓

Есть возможность отличить зашифрованные файлы на диске? Есть несколько частично зашифрованных машин. Необходимо извлечь уцелевшие файлы.
- vadimmaslikhin
  
  28 июня 2017 в 19:16
  
  0
  
  ↑
  
  ↓
  
  В случае шифрованием Петей, файлы не шифрованы, только mft. Способы извлечь файлы в статье описаны.
  - Jek_Rock
    
    28 июня 2017 в 19:20
    
    0
    
    ↑
    
    ↓
    
    На наших системах зашифрованы именно файлы. Доступ к файлам есть, но содержимое нечитаемо.
    - vadimmaslikhin
      
      28 июня 2017 в 19:45
      
      0
      
      ↑
      
      ↓
      
      Рекомендуем не использовать загруженную с зашифрованного вредоносом диска операционную систему и попытаться восстановить файлы различными способами. Также попробуйте изучить теневые копии.
      Это общая рекомендация. Если у нас будет что-то, что поможет решить вашу проблему, мы вам сообщим.
      - Jek_Rock
        
        28 июня 2017 в 19:52
        
        0
        
        ↑
        
        ↓
        
        Спасибо. Диск был изъят и подключен к другой системе.
delvin-fil

28 июня 2017 в 19:37

0

↑

↓

MBR, MBR, MBR… Про GPT ни слова.
Это значит, что GPT «неуязвимы», или не значит?
- vadimmaslikhin
  
  28 июня 2017 в 19:46
  
  0
  
  ↑
  
  ↓
  
  Мы точно не знаем, есть догадки.
  - delvin-fil
    
    28 июня 2017 в 19:51
    
    0
    
    ↑
    
    ↓
    
    То есть никем не проверялось?
    В нескольких статьях здесь и на гике упоминалось или «записывает в MBR» или «шифрует MBR». Много комментариев «у меня в конторе заразились», но никто не упоминает MBR или GPT, хотя это довольно интересно.
    - vilgeforce
      
      28 июня 2017 в 20:29
      
      0
      
      ↑
      
      ↓
      
      Проверялось. Херит он GPT, равно как и VBR.
      - delvin-fil
        
        28 июня 2017 в 20:34
        
        0
        
        ↑
        
        ↓
        
        Оппа! То есть, вероятность потерять раздел, из wine, имея GPT таки присутствует?
        
        vilgeforce
        
        28 июня 2017 в 20:36
        
        0
        
        ↑
        
        ↓
        
        Если прав хватит и запустится — да. И я бы сказал не вероятность, у него четкая проверка: не MBR — пишет мусор.
  - vilgeforce
    
    28 июня 2017 в 20:28
    
    0
    
    ↑
    
    ↓
    
    Убивает, а именно переписывает первые 10 секторов мусором в случае не MBR-таблицы. А еще он VBR грохает, вы тушку не смотрели, а уже «Recovery is possible». Фу так делать.
    - msuhanov
      
      28 июня 2017 в 20:35
      
      0
      
      ↑
      
      ↓
      
      Вы еще скажите, что и без MBR нельзя файлы восстановить :-)