Πώς να επαναφέρετε την πρόσβαση στο λειτουργικό σύστημα μετά από επίθεση από τον ιό Petya: συστάσεις από την Cyber ​​​​Police της Ουκρανίας

Το Τμήμα Κυβερνοαστυνομίας της Εθνικής Αστυνομίας της Ουκρανίας δημοσίευσε συστάσεις για τους χρήστες σχετικά με τον τρόπο αποκατάστασης της πρόσβασης σε υπολογιστές που έχουν υποστεί κυβερνοεπίθεση από τον ιό κρυπτογράφησης Petya.A.

Κατά τη διαδικασία μελέτης του ιού ransomware Petya.A, οι ερευνητές εντόπισαν διάφορες επιλογές για τον αντίκτυπο του κακόβουλου λογισμικού (κατά την εκτέλεση του ιού με δικαιώματα διαχειριστή):

Το σύστημα είναι εντελώς σε κίνδυνο. Για την ανάκτηση δεδομένων, απαιτείται ιδιωτικό κλειδί και εμφανίζεται ένα παράθυρο στην οθόνη που σας ζητά να πληρώσετε λύτρα για να αποκτήσετε το κλειδί για την αποκρυπτογράφηση των δεδομένων.

Οι υπολογιστές είναι μολυσμένοι και μερικώς κρυπτογραφημένοι. Το σύστημα ξεκίνησε τη διαδικασία κρυπτογράφησης, αλλά εξωτερικοί παράγοντες (π.χ.: διακοπή ρεύματος κ.λπ.) σταμάτησαν τη διαδικασία κρυπτογράφησης.

Οι υπολογιστές έχουν μολυνθεί, αλλά η διαδικασία κρυπτογράφησης του πίνακα MFT δεν έχει ακόμη ξεκινήσει.

Όσο για την πρώτη επιλογή, δυστυχώς, δεν υπάρχει επί του παρόντος καμία μέθοδος που να είναι εγγυημένη για την αποκρυπτογράφηση δεδομένων. Ειδικοί από το Τμήμα Cyber ​​​​Police, SBU, DSSTZI, ουκρανικές και διεθνείς εταιρείες πληροφορικής εργάζονται ενεργά για την επίλυση αυτού του ζητήματος.

Ταυτόχρονα, στις δύο τελευταίες περιπτώσεις υπάρχει πιθανότητα επαναφοράς των πληροφοριών που υπάρχουν στον υπολογιστή, καθώς ο πίνακας διαμερισμάτων MFT δεν έχει σπάσει ή μερικώς σπάσει, πράγμα που σημαίνει ότι με την επαναφορά του τομέα εκκίνησης MBR του συστήματος, ο υπολογιστής θα ξεκινήσει και θα λειτουργήσει.

Έτσι, το τροποποιημένο πρόγραμμα Trojan "Petya" λειτουργεί σε διάφορα στάδια:

Πρώτον: απόκτηση προνομιακών δικαιωμάτων (δικαιώματα διαχειριστή). Σε πολλούς υπολογιστές στην αρχιτεκτονική των Windows (Active Directory), αυτά τα δικαιώματα είναι απενεργοποιημένα. Ο ιός αποθηκεύει τον αρχικό τομέα εκκίνησης για το λειτουργικό σύστημα (MBR) σε μια κρυπτογραφημένη μορφή μιας λειτουργίας XOR bitwise (xor 0x7) και στη συνέχεια εγγράφει το bootloader του στη θέση του παραπάνω τομέα· ο υπόλοιπος κώδικας Trojan γράφεται στο πρώτους τομείς του δίσκου. Αυτό το βήμα δημιουργεί ένα αρχείο κειμένου σχετικά με την κρυπτογράφηση, αλλά τα δεδομένα δεν έχουν κρυπτογραφηθεί ακόμη.

Γιατί αυτό? Επειδή αυτό που περιγράφεται παραπάνω είναι μόνο προετοιμασία για κρυπτογράφηση δίσκου και θα ξεκινήσει μόνο μετά την επανεκκίνηση του συστήματος.

Δεύτερον: μετά την επανεκκίνηση, ξεκινά η δεύτερη φάση της λειτουργίας του ιού - κρυπτογράφηση δεδομένων, στρέφεται τώρα στον τομέα διαμόρφωσής του, στον οποίο ορίζεται η σημαία ότι τα δεδομένα δεν είναι ακόμη κρυπτογραφημένα και πρέπει να κρυπτογραφηθούν. Μετά από αυτό, ξεκινά η διαδικασία κρυπτογράφησης, η οποία μοιάζει με το πρόγραμμα Check Disk.

Η διαδικασία κρυπτογράφησης ξεκίνησε, αλλά εξωτερικοί παράγοντες (π.χ. διακοπή ρεύματος κ.λπ.) διέκοψαν τη διαδικασία κρυπτογράφησης.
Η διαδικασία κρυπτογράφησης του πίνακα MFT δεν έχει ακόμη ξεκινήσει λόγω παραγόντων που δεν εξαρτώνται από τον χρήστη (δυσλειτουργία του ιού, αντίδραση λογισμικού προστασίας από ιούς στις ενέργειες του ιού κ.λπ.).

Εκκίνηση από τη δισκέτα εγκατάστασης των Windows.

Εάν, μετά την εκκίνηση από τη δισκέτα εγκατάστασης των Windows, είναι ορατός ένας πίνακας με διαμερίσματα σκληρού δίσκου, τότε μπορείτε να ξεκινήσετε τη διαδικασία ανάκτησης MBR.

Για Windows XP:

Μετά τη φόρτωση του δίσκου εγκατάστασης των Windows XP στη μνήμη RAM του υπολογιστή, θα εμφανιστεί το παράθυρο διαλόγου "Εγκατάσταση των Windows XP Professional", που περιέχει ένα μενού επιλογής, πρέπει να επιλέξετε το στοιχείο "για να επαναφέρετε τα Windows XP χρησιμοποιώντας την κονσόλα αποκατάστασης, πατήστε R." . Πατήστε το πλήκτρο "R".

Η Κονσόλα αποκατάστασης θα φορτώσει.

Εάν ο υπολογιστής έχει εγκατεστημένο ένα λειτουργικό σύστημα και είναι (από προεπιλογή) εγκατεστημένο στη μονάδα δίσκου C, θα εμφανιστεί το ακόλουθο μήνυμα:

"1:C:\WINDOWS Σε ποιο αντίγραφο των Windows πρέπει να συνδεθώ;"

Πληκτρολογήστε το πλήκτρο "1", πατήστε το πλήκτρο "Enter".

Θα εμφανιστεί ένα μήνυμα: «Εισαγάγετε τον κωδικό πρόσβασης διαχειριστή». Εισαγάγετε τον κωδικό πρόσβασής σας, πατήστε "Enter" (αν δεν υπάρχει κωδικός, απλώς πατήστε "Enter").

Θα πρέπει να εμφανιστεί η προτροπή συστήματος: C:\WINDOWS> πληκτρολογήστε fixmbr

Στη συνέχεια θα εμφανιστεί το μήνυμα "ΠΡΟΕΙΔΟΠΟΙΗΣΗ".

"Επιβεβαιώνετε την είσοδο του νέου MBR;" Πατήστε το πλήκτρο "Y".

Θα εμφανιστεί ένα μήνυμα: "Ένας νέος κύριος τομέας εκκίνησης δημιουργείται στον φυσικό δίσκο \Device\Harddisk0\Partition0".

"Ο νέος κύριος τομέας εκκίνησης δημιουργήθηκε με επιτυχία."

Για Windows Vista:

Κατεβάστε τα Windows Vista. Επιλέξτε τη γλώσσα και τη διάταξη του πληκτρολογίου σας. Στην οθόνη υποδοχής, κάντε κλικ στην επιλογή "Επαναφορά του υπολογιστή σας". Τα Windows Vista θα επεξεργαστούν το μενού του υπολογιστή.

Επιλέξτε το λειτουργικό σας σύστημα και κάντε κλικ στο Επόμενο.

Όταν εμφανιστεί το παράθυρο Επιλογές αποκατάστασης συστήματος, κάντε κλικ στη Γραμμή εντολών.

Όταν εμφανιστεί η γραμμή εντολών, πληκτρολογήστε την εντολή:

bootrec/FixMbr

Περιμένετε να ολοκληρωθεί η λειτουργία. Εάν όλα είναι επιτυχή, θα εμφανιστεί ένα μήνυμα επιβεβαίωσης στην οθόνη.

Για Windows 7:

Κατεβάστε τα Windows 7.

Διάλεξε γλώσσα.

Επιλέξτε τη διάταξη του πληκτρολογίου σας.

Επιλέξτε το λειτουργικό σας σύστημα και κάντε κλικ στο Επόμενο. Όταν επιλέγετε ένα λειτουργικό σύστημα, θα πρέπει να επιλέξετε "Χρήση εργαλείων ανάκτησης που μπορούν να βοηθήσουν στην επίλυση προβλημάτων κατά την εκκίνηση των Windows".

Στην οθόνη Επιλογές αποκατάστασης συστήματος, κάντε κλικ στο κουμπί Γραμμή εντολών στην οθόνη Επιλογές αποκατάστασης συστήματος των Windows 7

Όταν η γραμμή εντολών εκκινήσει με επιτυχία, εισαγάγετε την εντολή:

bootrec/fixmbr

Πατήστε το πλήκτρο Enter και επανεκκινήστε τον υπολογιστή σας.

Για Windows 8

Κατεβάστε τα Windows 8.

Στην οθόνη υποδοχής, κάντε κλικ στο κουμπί Επαναφορά του υπολογιστή σας

Τα Windows 8 θα επαναφέρουν το μενού του υπολογιστή

Επιλέξτε Γραμμή εντολών.

Όταν φορτωθεί η γραμμή εντολών, πληκτρολογήστε τις ακόλουθες εντολές:

bootrec/FixMbr

Περιμένετε να ολοκληρωθεί η λειτουργία. Εάν όλα είναι επιτυχή, θα εμφανιστεί ένα μήνυμα επιβεβαίωσης στην οθόνη.

Πατήστε το πλήκτρο Enter και επανεκκινήστε τον υπολογιστή σας.

Για Windows 10

Κατεβάστε τα Windows 10.

Στην οθόνη καλωσορίσματος, κάντε κλικ στο κουμπί "Επισκευή του υπολογιστή σας".

Επιλέξτε "Αντιμετώπιση προβλημάτων"

Επιλέξτε Γραμμή εντολών.

Όταν φορτωθεί η γραμμή εντολών, πληκτρολογήστε την εντολή:

bootrec/FixMbr

Περιμένετε να ολοκληρωθεί η λειτουργία. Εάν όλα είναι επιτυχή, θα εμφανιστεί ένα μήνυμα επιβεβαίωσης στην οθόνη.

Πατήστε το πλήκτρο Enter και επανεκκινήστε τον υπολογιστή σας.

Μετά τη διαδικασία ανάκτησης MBR, οι ερευνητές συνιστούν τη σάρωση του δίσκου με προγράμματα προστασίας από ιούς για μολυσμένα αρχεία.

Οι ειδικοί της αστυνομίας στον κυβερνοχώρο σημειώνουν ότι αυτές οι ενέργειες είναι επίσης σχετικές εάν η διαδικασία κρυπτογράφησης ξεκίνησε αλλά διακόπηκε από τον χρήστη με την απενεργοποίηση του υπολογιστή κατά την αρχική διαδικασία κρυπτογράφησης. Σε αυτήν την περίπτωση, μετά τη φόρτωση του λειτουργικού συστήματος, μπορείτε να χρησιμοποιήσετε λογισμικό ανάκτησης αρχείων (όπως το RStudio), στη συνέχεια να το αντιγράψετε σε εξωτερικό μέσο και να εγκαταστήσετε ξανά το σύστημα.

Σημειώνεται επίσης ότι εάν χρησιμοποιείτε προγράμματα ανάκτησης δεδομένων που καταγράφουν τον τομέα εκκίνησης τους (όπως το Acronis True Image), ο ιός δεν αγγίζει αυτό το διαμέρισμα και μπορείτε να επιστρέψετε την κατάσταση λειτουργίας του συστήματος στην ημερομηνία του σημείου ελέγχου.

Η αστυνομία του κυβερνοχώρου ανέφερε ότι εκτός από τα στοιχεία εγγραφής που παρείχαν οι χρήστες του προγράμματος M.E.doc, δεν διαβιβάστηκαν πληροφορίες.

Ας υπενθυμίσουμε ότι στις 27 Ιουνίου 2017, μια μεγάλης κλίμακας κυβερνοεπίθεση του ιού κρυπτογράφησης Petya.A ξεκίνησε στα συστήματα πληροφορικής των ουκρανικών εταιρειών και κρατικών υπηρεσιών.