Эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya, от которого в конце июня пострадало множество украинских и российских компаний. Этот метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.
Несмотря на то, что вирус считался стирателем, благодаря ошибкам в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками, возможность расшифровать файлы таки есть. Как сообщает securitylab, работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованых жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.
Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.
«Восстановление данных с жесткого диска по этой методике требует применения эвристик и может занимать несколько часов, — рассказывает Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies. — Степень восстановления зависит от многих факторов (от размера диска, степени его заполнения и фрагментации) и может достигать 100% для дисков большого объема, содержащих много «публичных» файлов (компонентов операционной системы и программных продуктов, одинаковых на многих машинах)».
Подробное исследование опубликовано в блоге Pоsitive Technologies на Хабрахабре.
Источник: http://www.securitylab.ru/