Кіберполіція у процесі дослідження вірусу Petya та його шкідливої дії на комп’ютери користувачів виявила декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора).
У першому випадку комп’ютери заражені і зашифровані, система повністю скомпрометована. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
У другому випадку комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори, наприклад вимкнення живлення, припинили процес шифрування.
У третьому випадку комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.
У кіберполіції зазначили, що у тому, що стосується першого сценарію – на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ-компаній.
У той же час у двох останніх випадках є шанс відновити інформацію на комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Таким чином, у кіберполіції встановили, що троянська програма Petya працює в кілька етапів.
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.
Нагадаємо, 27 червня низка державних органів влади, фінансових установ та великих підприємств, зокрема і міжнародних аеропортів, піддалися масованій кібератаці.
Поліція отримала понад 2 тисячі звернень через кібератаки.
За даними компанії ESET, яка розробляє програмне забезпечення для боротьбі зі шкідливими комп’ютерними програмами на Україну припало 75% атак вірусу Petya.