Немного о вирусе шифровальщике Trojan.Encoder.12544 атаковавшего 27.06.2017

27.06.2017 после обеда мне позвонили из одной организации и сообщили что много компьютеров перестали работать, однако некоторые работали, я так понял на которых было включено автообновление Windows и установлены все обновления, в том числе критическое исправляющее уязвимость которое использует вирус — Microsoft Security Bulletin MS17-010 — Critical

На одних зараженных компьютерах было следующее окно (зараженная область MBR):

На других шла проверка диска на ошибки через CHDISK, как оказалось это второй этап вируса — шифрование диска с использованием алгоритмов AES-128-CBC и в этом случае необходимо немедленное выключение, чтобы можно было восстановить оставшиеся не зашифрованные данные.
Через специальные утилиты было видно лишь немного не зашифрованных данных которые можно восстановить, ну а остальную часть можно вернуть лишь из резервных копий которые делали системные администраторы так как расшифровщика на данный момент нету.
Под старую прошлогоднюю версию вируса был написан расшифровщик https://github.com/leo-stone/hack-petya

Почта которая указана для запроса ключа расшифровки через некоторое время после появления вируса была заблокирована, на кошелек как оказалось даже поступило около 45 транзакций.

Добавить комментарий