Как да възстановите достъпа до операционната система след атака на вируса Petya: препоръки от киберполицията на Украйна

Отделът за киберполиция на Националната полиция на Украйна публикува препоръки за потребителите как да възстановят достъпа до компютри, които са били обект на кибератака от вируса за криптиране Petya.A.

В процеса на изучаване на вируса Petya.A ransomware, изследователите идентифицираха няколко варианта за въздействие на зловреден софтуер (когато стартирате вируса с администраторски права):

Системата е напълно компрометирана. За да възстановите данни, е необходим частен ключ и на екрана се появява прозорец с искане да платите откуп, за да получите ключа за дешифриране на данните.

Компютрите са заразени и частично криптирани. Системата стартира процеса на криптиране, но външни фактори (напр. прекъсване на захранването и др.) спряха процеса на криптиране.

Компютрите са заразени, но процесът на криптиране на MFT таблицата все още не е започнал.

Що се отнася до първия вариант, за съжаление в момента няма метод, който гарантирано дешифрира данни. Специалисти от Отдела за киберполиция, СБУ, ДССТЗИ, украински и международни ИТ компании активно работят за разрешаването на този проблем.

В същото време в последните два случая има шанс да се възстанови информацията, която е на компютъра, тъй като таблицата за разделяне на MFT не е счупена или частично счупена, което означава, че чрез възстановяване на сектора за зареждане на MBR на системата, компютърът ще стартира и ще работи.

Така модифицираната троянска програма „Петя“ работи на няколко етапа:

Първо: получаване на привилегировани права (администраторски права). На много компютри с Windows архитектура (Active Directory) тези права са деактивирани. Вирусът запазва оригиналния зареждащ сектор за операционната система (MBR) в криптирана форма на побитова XOR операция (xor 0x7) и след това записва своя зареждащ механизъм на мястото на горния сектор; останалата част от троянския код се записва в първите сектори на диска. Тази стъпка създава текстов файл за шифроване, но данните все още не са шифровани.

Защо така? Тъй като описаното по-горе е само подготовка за криптиране на диска и ще започне едва след рестартиране на системата.

Второ: след рестартирането започва втората фаза от работата на вируса - криптиране на данни, сега той се обръща към своя конфигурационен сектор, в който е зададен флаг, че данните все още не са криптирани и трябва да бъдат криптирани. След това започва процесът на криптиране, който изглежда като програмата за проверка на диска.

Процесът на криптиране беше стартиран, но външни фактори (напр.: прекъсване на захранването и др.) спряха процеса на криптиране;
Процесът на криптиране на MFT таблицата все още не е започнал поради фактори, които не зависят от потребителя (неизправност на вируса, реакция на антивирусния софтуер към действията на вируса и т.н.).

Стартирайте от инсталационния диск на Windows;

Ако след зареждане от инсталационния диск на Windows се вижда таблица с дялове на твърдия диск, тогава можете да започнете процеса на възстановяване на MBR;

За Windows XP:

След като заредите инсталационния диск на Windows XP в RAM паметта на компютъра, ще се появи диалоговият прозорец "Инсталиране на Windows XP Professional", съдържащ меню за избор, трябва да изберете елемента "за да възстановите Windows XP с помощта на конзолата за възстановяване, натиснете R." . Натиснете КЛАВИШ "R".

Конзолата за възстановяване ще се зареди.

Ако компютърът има инсталирана една операционна система и тя (по подразбиране) е инсталирана на устройството C, ще се появи следното съобщение:

"1:C:\WINDOWS В кое копие на Windows да вляза?"

Въведете клавиша "1", натиснете клавиша "Enter".

Ще се появи съобщение: „Въведете вашата администраторска парола.“ Въведете паролата си, натиснете "Enter" (ако няма парола, просто натиснете "Enter").

Трябва да се появи системната подкана: C:\WINDOWS> въведете fixmbr

След това ще се появи съобщението “ПРЕДУПРЕЖДЕНИЕ”.

„Потвърждавате ли въвеждането на новия MBR?“ Натиснете клавиша "Y".

Ще се появи съобщение: „Създава се нов първичен зареждащ сектор на физическия диск \Device\Harddisk0\Partition0.»

„Новият първичен зареждащ сектор е създаден успешно.“

За Windows Vista:

Изтеглете Windows Vista. Изберете своя език и клавиатурна подредба. На началния екран щракнете върху „Възстановяване на вашия компютър“. Windows Vista ще редактира менюто на компютъра.

Изберете вашата операционна система и щракнете върху Напред.

Когато се появи прозорецът с опции за възстановяване на системата, щракнете върху командния ред.

Когато се появи командният ред, въведете командата:

bootrec/FixMbr

Изчакайте операцията да приключи. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.

За Windows 7:

Изтеглете Windows 7.

Изберете език.

Изберете вашата клавиатурна подредба.

Изберете вашата операционна система и щракнете върху Напред. Когато избирате операционна система, трябва да поставите отметка до „Използвайте инструменти за възстановяване, които могат да помогнат за разрешаване на проблеми при стартиране на Windows“.

На екрана с опции за възстановяване на системата щракнете върху бутона Command Prompt на екрана с опции за възстановяване на системата на Windows 7

Когато командният ред се стартира успешно, въведете командата:

bootrec/fixmbr

Натиснете клавиша Enter и рестартирайте компютъра.

За Windows 8

Изтеглете Windows 8.

На началния екран щракнете върху бутона Възстановете вашия компютър

Windows 8 ще възстанови менюто на компютъра

Изберете командния ред.

Когато командният ред се зареди, въведете следните команди:

bootrec/FixMbr

Изчакайте операцията да приключи. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.

Натиснете клавиша Enter и рестартирайте компютъра.

За Windows 10

Изтеглете Windows 10.

На началния екран щракнете върху бутона „Поправете компютъра си“.

Изберете „Отстраняване на неизправности“

Изберете командния ред.

Когато командният ред се зареди, въведете командата:

bootrec/FixMbr

Изчакайте операцията да приключи. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.

Натиснете клавиша Enter и рестартирайте компютъра.

След процедурата за възстановяване на MBR изследователите препоръчват сканиране на диска с антивирусни програми за заразени файлове.

Специалистите от киберполицията отбелязват, че тези действия са уместни и ако процесът на криптиране е стартиран, но е прекъснат от потребителя чрез изключване на захранването на компютъра по време на първоначалния процес на криптиране. В този случай, след като заредите операционната система, можете да използвате софтуер за възстановяване на файлове (като RStudio), след което да ги копирате на външен носител и да преинсталирате системата.

Също така се отбелязва, че ако използвате програми за възстановяване на данни, които записват своя сектор за зареждане (като Acronis True Image), вирусът не докосва този дял и можете да върнете работното състояние на системата до датата на контролната точка.

Киберполицията съобщи, че освен регистрационните данни, предоставени от потребителите на програмата M.E.doc, не е предавана никаква информация.

Да припомним, че на 27 юни 2017 г. започна мащабна кибератака на криптиращия вирус Petya.A срещу ИТ системите на украински компании и държавни агенции.