So stellen Sie den Zugriff auf das Betriebssystem nach einem Angriff durch den Petya-Virus wieder her: Empfehlungen der Cyber-Polizei der Ukraine

Die Cyber-Polizeiabteilung der Nationalpolizei der Ukraine hat Empfehlungen für Benutzer veröffentlicht, wie sie den Zugriff auf Computer wiederherstellen können, die einem Cyberangriff durch den Verschlüsselungsvirus Petya.A ausgesetzt waren.

Bei der Untersuchung des Petya.A-Ransomware-Virus identifizierten die Forscher mehrere Optionen für die Auswirkungen von Malware (wenn der Virus mit Administratorrechten ausgeführt wird):

Das System ist völlig kompromittiert. Um Daten wiederherzustellen, ist ein privater Schlüssel erforderlich, und auf dem Bildschirm erscheint ein Fenster, in dem Sie aufgefordert werden, ein Lösegeld zu zahlen, um den Schlüssel zum Entschlüsseln der Daten zu erhalten.

Computer sind infiziert und teilweise verschlüsselt. Das System hat den Verschlüsselungsprozess gestartet, aber externe Faktoren (z. B. Stromausfall usw.) haben den Verschlüsselungsprozess gestoppt.

Die Computer sind infiziert, aber der Prozess der Verschlüsselung der MFT-Tabelle hat noch nicht begonnen.

Was die erste Option betrifft, gibt es derzeit leider keine Methode, mit der Daten garantiert entschlüsselt werden können. Spezialisten der Cyber-Polizei, der SBU, des DSSTZI sowie ukrainischer und internationaler IT-Unternehmen arbeiten aktiv an der Lösung dieses Problems.

Gleichzeitig besteht in den letzten beiden Fällen die Möglichkeit, die auf dem Computer vorhandenen Informationen wiederherzustellen, da die MFT-Partitionierungstabelle nicht oder teilweise beschädigt ist, was bedeutet, dass durch die Wiederherstellung des MBR-Bootsektors des Systems die Der Computer startet und funktioniert.

So arbeitet das modifizierte Trojaner-Programm „Petya“ in mehreren Stufen:

Erstens: Erlangung privilegierter Rechte (Administratorrechte). Auf vielen Computern in Windows-Architektur (Active Directory) sind diese Rechte deaktiviert. Der Virus speichert den ursprünglichen Bootsektor für das Betriebssystem (MBR) in verschlüsselter Form einer bitweisen XOR-Operation (xor 0x7) und schreibt dann seinen Bootloader anstelle des oben genannten Sektors; der Rest des Trojaner-Codes wird in den geschrieben ersten Sektoren der Festplatte. In diesem Schritt wird eine Textdatei zur Verschlüsselung erstellt, die Daten sind jedoch noch nicht wirklich verschlüsselt.

Warum so? Denn was oben beschrieben wird, ist lediglich eine Vorbereitung für die Festplattenverschlüsselung und beginnt erst nach einem Neustart des Systems.

Zweitens: Nach dem Neustart beginnt die zweite Phase des Virus – die Datenverschlüsselung. Er wendet sich nun seinem Konfigurationssektor zu, in dem die Markierung gesetzt ist, dass die Daten noch nicht verschlüsselt sind und verschlüsselt werden müssen. Danach beginnt der Verschlüsselungsprozess, der wie das Check Disk-Programm aussieht.

Der Verschlüsselungsprozess wurde gestartet, aber externe Faktoren (z. B. Stromausfall usw.) haben den Verschlüsselungsprozess gestoppt;
Der Prozess der Verschlüsselung der MFT-Tabelle hat aufgrund von Faktoren, die nicht vom Benutzer abhängen (eine Fehlfunktion des Virus, die Reaktion der Antivirensoftware auf die Aktionen des Virus usw.), noch nicht begonnen.

Booten Sie von der Windows-Installationsdiskette;

Wenn nach dem Booten von der Windows-Installationsdiskette eine Tabelle mit Festplattenpartitionen sichtbar ist, können Sie mit der MBR-Wiederherstellung beginnen;

Für Windows XP:

Nach dem Laden der Windows XP-Installationsdiskette in den Arbeitsspeicher des PCs erscheint das Dialogfeld „Windows XP Professional installieren“ mit einem Auswahlmenü. Sie müssen den Punkt „Um Windows XP mit der Wiederherstellungskonsole wiederherzustellen, drücken Sie R“ auswählen. . Drücken Sie die „R“-TASTE.

Die Wiederherstellungskonsole wird geladen.

Wenn auf dem PC ein Betriebssystem installiert ist und dieses (standardmäßig) auf dem Laufwerk C: installiert ist, wird die folgende Meldung angezeigt:

„1:C:\WINDOWS Bei welcher Windows-Kopie soll ich mich anmelden?“

Geben Sie die Taste „1“ ein und drücken Sie die Taste „Enter“.

Es erscheint die Meldung: „Geben Sie Ihr Administratorkennwort ein.“ Geben Sie Ihr Passwort ein und drücken Sie „Enter“ (wenn kein Passwort vorhanden ist, drücken Sie einfach „Enter“).

Die Systemaufforderung sollte erscheinen: C:\WINDOWS> enter fixmbr

Anschließend erscheint die Meldung „WARNUNG“.

„Bestätigen Sie die Eingabe des neuen MBR?“ Drücken Sie die „Y“-Taste.

Es erscheint eine Meldung: „Auf der physischen Festplatte \Device\Harddisk0\Partition0 wird ein neuer primärer Bootsektor erstellt.“

„Der neue primäre Bootsektor wurde erfolgreich erstellt.“

Für Windows Vista:

Laden Sie Windows Vista herunter. Wählen Sie Ihre Sprache und Ihr Tastaturlayout. Klicken Sie im Begrüßungsbildschirm auf „Computer wiederherstellen“. Windows Vista bearbeitet das Computermenü.

Wählen Sie Ihr Betriebssystem aus und klicken Sie auf Weiter.

Wenn das Fenster „Systemwiederherstellungsoptionen“ angezeigt wird, klicken Sie auf „Eingabeaufforderung“.

Wenn die Eingabeaufforderung erscheint, geben Sie den Befehl ein:

bootrec/FixMbr

Warten Sie, bis der Vorgang abgeschlossen ist. Wenn alles erfolgreich ist, erscheint eine Bestätigungsmeldung auf dem Bildschirm.

Für Windows 7:

Laden Sie Windows 7 herunter.

Sprache wählen.

Wählen Sie Ihr Tastaturlayout.

Wählen Sie Ihr Betriebssystem aus und klicken Sie auf Weiter. Bei der Auswahl eines Betriebssystems sollten Sie „Wiederherstellungstools verwenden, die bei der Lösung von Problemen beim Starten von Windows helfen können“ ankreuzen.

Klicken Sie im Bildschirm „Systemwiederherstellungsoptionen“ auf die Schaltfläche „Eingabeaufforderung“ im Bildschirm „Systemwiederherstellungsoptionen“ von Windows 7

Wenn die Eingabeaufforderung erfolgreich gestartet wurde, geben Sie den folgenden Befehl ein:

bootrec/fixmbr

Drücken Sie die Eingabetaste und starten Sie Ihren Computer neu.

Für Windows 8

Laden Sie Windows 8 herunter.

Klicken Sie im Begrüßungsbildschirm auf die Schaltfläche „Computer wiederherstellen“.

Windows 8 stellt das Computermenü wieder her

Wählen Sie Eingabeaufforderung.

Geben Sie beim Laden der Eingabeaufforderung die folgenden Befehle ein:

bootrec/FixMbr

Warten Sie, bis der Vorgang abgeschlossen ist. Wenn alles erfolgreich ist, erscheint eine Bestätigungsmeldung auf dem Bildschirm.

Drücken Sie die Eingabetaste und starten Sie Ihren Computer neu.

Für Windows 10

Laden Sie Windows 10 herunter.

Klicken Sie im Begrüßungsbildschirm auf die Schaltfläche „Computer reparieren“.

Wählen Sie „Fehlerbehebung“

Wählen Sie Eingabeaufforderung.

Geben Sie beim Laden der Eingabeaufforderung den folgenden Befehl ein:

bootrec/FixMbr

Warten Sie, bis der Vorgang abgeschlossen ist. Wenn alles erfolgreich ist, erscheint eine Bestätigungsmeldung auf dem Bildschirm.

Drücken Sie die Eingabetaste und starten Sie Ihren Computer neu.

Nach der MBR-Wiederherstellung empfehlen Forscher, die Festplatte mit Antivirenprogrammen auf infizierte Dateien zu scannen.

Spezialisten der Cyberpolizei weisen darauf hin, dass diese Maßnahmen auch dann relevant sind, wenn der Verschlüsselungsprozess gestartet, aber vom Benutzer unterbrochen wurde, indem er den Computer während des ersten Verschlüsselungsprozesses ausgeschaltet hat. In diesem Fall können Sie nach dem Laden des Betriebssystems eine Dateiwiederherstellungssoftware (wie RStudio) verwenden, diese dann auf externe Medien kopieren und das System neu installieren.

Es wird außerdem darauf hingewiesen, dass der Virus diese Partition nicht angreift, wenn Sie Datenwiederherstellungsprogramme verwenden, die ihren Bootsektor aufzeichnen (wie Acronis True Image), und Sie den Arbeitszustand des Systems auf das Prüfpunktdatum zurücksetzen können.

Die Cyberpolizei berichtete, dass außer den von Nutzern des M.E.doc-Programms bereitgestellten Registrierungsdaten keine Informationen übermittelt wurden.

Erinnern wir uns daran, dass am 27. Juni 2017 ein groß angelegter Cyberangriff des Verschlüsselungsvirus Petya.A auf die IT-Systeme ukrainischer Unternehmen und Regierungsbehörden begann.