Cómo restaurar el acceso al sistema operativo después de un ataque del virus Petya: recomendaciones de la Policía Cibernética de Ucrania

El Departamento de Policía Cibernética de la Policía Nacional de Ucrania ha publicado recomendaciones para los usuarios sobre cómo restaurar el acceso a las computadoras que han sido objeto de un ciberataque por parte del virus de cifrado Petya.A.

En el proceso de estudio del virus ransomware Petya.A, los investigadores identificaron varias opciones para el impacto del malware (cuando se ejecuta el virus con derechos de administrador):

El sistema está completamente comprometido. Para recuperar datos, se requiere una clave privada y aparece una ventana en la pantalla que le pide que pague un rescate para obtener la clave para descifrar los datos.

Las computadoras están infectadas y parcialmente encriptadas. El sistema inició el proceso de cifrado, pero factores externos (p. ej.: corte de energía, etc.) detuvieron el proceso de cifrado.

Las computadoras están infectadas, pero el proceso de cifrado de la tabla MFT aún no ha comenzado.

En cuanto a la primera opción, lamentablemente actualmente no existe ningún método que garantice descifrar datos. Para resolver este problema están trabajando activamente especialistas del Departamento de Policía Cibernética, del SBU, del DSSTZI y de empresas de TI ucranianas e internacionales.

Al mismo tiempo, en los dos últimos casos existe la posibilidad de restaurar la información que se encuentra en la computadora, ya que la tabla de particiones MFT no está rota o parcialmente rota, lo que significa que al restaurar el sector de arranque MBR del sistema, el La computadora se iniciará y funcionará.

Así, el programa troyano modificado “Petya” funciona en varias etapas:

Primero: obtener derechos privilegiados (derechos de administrador). En muchas computadoras con arquitectura Windows (Active Directory), estos derechos están deshabilitados. El virus guarda el sector de arranque original del sistema operativo (MBR) en forma cifrada de una operación XOR bit a bit (xor 0x7) y luego escribe su gestor de arranque en lugar del sector anterior; el resto del código troyano se escribe en el primeros sectores del disco. Este paso crea un archivo de texto sobre el cifrado, pero los datos aún no están cifrados.

¿Porqué es eso? Porque lo que se describe arriba es sólo una preparación para el cifrado del disco y comenzará sólo después de que se reinicie el sistema.

Segundo: después del reinicio, comienza la segunda fase de la operación del virus: el cifrado de datos, ahora pasa a su sector de configuración, en el que se establece la bandera de que los datos aún no están cifrados y deben cifrarse. Después de eso, comienza el proceso de cifrado, que se parece al programa Check Disk.

Se inició el proceso de cifrado, pero factores externos (por ejemplo: corte de energía, etc.) detuvieron el proceso de cifrado;
El proceso de cifrado de la tabla MFT aún no ha comenzado debido a factores que no dependen del usuario (un mal funcionamiento del virus, la reacción del software antivirus a las acciones del virus, etc.).

Arranque desde el disco de instalación de Windows;

Si, después de iniciar desde el disco de instalación de Windows, aparece una tabla con las particiones del disco duro, entonces puede comenzar el proceso de recuperación del MBR;

Para Windows XP:

Después de cargar el disco de instalación de Windows XP en la RAM de la PC, aparecerá el cuadro de diálogo "Instalar Windows XP Professional", que contiene un menú de selección, debe seleccionar el elemento "para restaurar Windows XP usando la consola de recuperación, presione R". . Presione la TECLA "R".

Se cargará la Consola de recuperación.

Si la PC tiene un sistema operativo instalado y está (de forma predeterminada) instalado en la unidad C, aparecerá el siguiente mensaje:

"1:C:\WINDOWS ¿En qué copia de Windows debo iniciar sesión?"

Escriba la tecla "1", presione la tecla "Entrar".

Aparecerá un mensaje: "Ingrese su contraseña de administrador". Ingrese su contraseña, presione "Entrar" (si no hay contraseña, simplemente presione "Entrar").

Debería aparecer el mensaje del sistema: C:\WINDOWS> ingrese fixmbr

A continuación aparecerá el mensaje “ADVERTENCIA”.

"¿Estás confirmando la entrada del nuevo MBR?" Presione la tecla "Y".

Aparecerá un mensaje: "Se está creando un nuevo sector de arranque primario en el disco físico \Device\Harddisk0\Partition0".

"El nuevo sector de arranque primario se ha creado con éxito".

Para Windows Vista:

Descarga Windows Vista. Seleccione su idioma y distribución de teclado. En la pantalla de bienvenida, haga clic en "Restaurar su computadora". Windows Vista editará el menú de la computadora.

Seleccione su sistema operativo y haga clic en Siguiente.

Cuando aparezca la ventana Opciones de recuperación del sistema, haga clic en Símbolo del sistema.

Cuando aparezca el símbolo del sistema, ingrese el comando:

bootrec/FixMbr

Espere a que se complete la operación. Si todo es exitoso, aparecerá un mensaje de confirmación en la pantalla.

Para Windows 7:

Descarga Windows 7.

Elige lengua.

Seleccione la distribución de su teclado.

Seleccione su sistema operativo y haga clic en Siguiente. Al elegir un sistema operativo, debe marcar "Usar herramientas de recuperación que puedan ayudar a resolver problemas al iniciar Windows".

En la pantalla Opciones de recuperación del sistema, haga clic en el botón Símbolo del sistema en la pantalla Opciones de recuperación del sistema de Windows 7

Cuando el símbolo del sistema se inicie correctamente, ingrese el comando:

bootrec/fixmbr

Presione la tecla Enter y reinicie su computadora.

Para Windows 8

Descarga Windows 8.

En la pantalla de bienvenida, haga clic en el botón Restaurar su computadora

Windows 8 restaurará el menú de la computadora

Seleccione Símbolo del sistema.

Cuando se cargue el símbolo del sistema, ingrese los siguientes comandos:

bootrec/FixMbr

Espere a que se complete la operación. Si todo es exitoso, aparecerá un mensaje de confirmación en la pantalla.

Presione la tecla Enter y reinicie su computadora.

Para Windows 10

Descarga Windows 10.

En la pantalla de bienvenida, haga clic en el botón "Reparar su computadora"

Seleccione "Solución de problemas"

Seleccione Símbolo del sistema.

Cuando se cargue el símbolo del sistema, ingrese el comando:

bootrec/FixMbr

Espere a que se complete la operación. Si todo es exitoso, aparecerá un mensaje de confirmación en la pantalla.

Presione la tecla Enter y reinicie su computadora.

Después del procedimiento de recuperación del MBR, los investigadores recomiendan escanear el disco con programas antivirus en busca de archivos infectados.

Los especialistas de la policía cibernética señalan que estas acciones también son relevantes si el proceso de cifrado fue iniciado pero el usuario lo interrumpió al apagar la computadora durante el proceso de cifrado inicial. En este caso, después de cargar el sistema operativo, puede utilizar un software de recuperación de archivos (como RStudio), luego copiarlos a un medio externo y reinstalar el sistema.

También se observa que si utiliza programas de recuperación de datos que registran su sector de arranque (como Acronis True Image), el virus no toca esta partición y puede devolver el estado de funcionamiento del sistema a la fecha del punto de control.

La policía cibernética informó que, aparte de los datos de registro proporcionados por los usuarios del programa M.E.doc, no se transmitió ninguna información.

Recordemos que el 27 de junio de 2017 se produjo un ciberataque a gran escala del virus de cifrado Petya.A en los sistemas informáticos de empresas y agencias gubernamentales ucranianas.