Эксперты заявили, что зашифрованные вирусом Petya.C данные невозможно расшифровать Статьи редакции

Эксперты по кибербезопасности заявили, что вирус Petya.C, поразивший компании по всему миру — не вымогатель, а намеренно деструктивная программа. По словам исследователей, заражённую систему при определённых условиях можно перезапустить, но восстановить зашифрованные файлы не удастся.

О том, что программа является не вымогателем, а разрушителем, в своём Telegram-канале «Сайберсекьюрити и Ко» рассказал IT-эксперт Александр Литреев.

По его словам, был единственный способ спасти данные — выключить компьютер при первых признаках заражения. Если же этого не было сделано, данные вернуть не удастся.

К такому же выводу пришли эксперты из компании Positive Technologies. В своём блоге на «Хабрахабре» они детально рассказали о вирусе и схеме его работы.

После запуска вредоносного файла создаётся отложенная задача на перезагрузку компьютера. По словам Positive Technologies, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС.

После этого заражённую систему удастся восстановить, но расшифровать данные всё равно не получится. Это подтвердили и в СБУ Украины.

Для каждого диска вирус генерирует свой закрытый ключ, который затем удаляется.

Теоретически можно было получить ключ, заплатив злоумышленникам. Но в настоящее время платить выкуп бесполезно, поскольку адрес [email protected], по которому можно было связаться с авторами трояна, уже заблокирован.

Эксперты из «Лаборатории Касперского» также заявили, что у жертв хакеров изначально не было возможности расшифровать данные. Создатели вируса просто не закладывали идентификатор конкретной установки трояна. То есть, даже получив выкуп не смогли бы выслать дешифровщик.

Эксперты из международной компании Eset нашли источник распространения вируса. По их словам, причиной эпидемии стало украинское бухгалтерское программное обеспечение M.E.Doc. Эту информацию подтвердили в Microsoft.

По мнению «Сайберсекьюрити и Ко», «атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и государственный аппарат». Литреев также добавил, что «вредоносная программа пришла со стороны одной из стран СНГ».

27 июня сети многих российских и украинских компаний поразил вирус-шифровщик. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в размере 300 долларов в биткоинах. Позднее эксперты заявили, что троян не связан с вирусом-вымогателем WannaCry.