نحوه بازیابی دسترسی به سیستم عامل پس از حمله توسط ویروس Petya: توصیه هایی از پلیس سایبری اوکراین

اداره پلیس سایبری پلیس ملی اوکراین توصیه هایی را برای کاربران در مورد چگونگی بازگرداندن دسترسی به رایانه هایی که در معرض حمله سایبری توسط ویروس رمزگذاری Petya.A قرار گرفته اند، منتشر کرده است.

در فرآیند مطالعه ویروس باج افزار Petya.A، محققان چندین گزینه را برای تأثیر بدافزار (هنگام اجرای ویروس با حقوق مدیر) شناسایی کردند:

سیستم به طور کامل در معرض خطر است. برای بازیابی اطلاعات، یک کلید خصوصی مورد نیاز است و پنجره ای روی صفحه ظاهر می شود که از شما می خواهد برای دریافت کلید رمزگشایی داده ها، باج بپردازید.

کامپیوترها آلوده و تا حدی رمزگذاری شده اند. سیستم فرآیند رمزگذاری را شروع کرد، اما عوامل خارجی (به عنوان مثال: قطع برق و غیره) روند رمزگذاری را متوقف کردند.

کامپیوترها آلوده شده اند، اما روند رمزگذاری جدول MFT هنوز آغاز نشده است.

در مورد گزینه اول، متاسفانه، در حال حاضر هیچ روشی برای رمزگشایی داده ها تضمین شده نیست. متخصصان بخش پلیس سایبری، SBU، DSSTZI، شرکت های فناوری اطلاعات اوکراین و بین المللی به طور فعال برای حل این مشکل کار می کنند.

در عین حال، در دو مورد آخر، فرصتی برای بازیابی اطلاعات موجود در رایانه وجود دارد، زیرا جدول پارتیشن بندی MFT شکسته یا تا حدی خراب نشده است، به این معنی که با بازیابی بخش بوت MBR سیستم، کامپیوتر راه اندازی می شود و کار می کند.

بنابراین، برنامه تروجان اصلاح شده "Petya" در چندین مرحله کار می کند:

اول: کسب حقوق ممتاز (حقوق مدیر). در بسیاری از کامپیوترهای معماری ویندوز (Active Directory)، این حقوق غیرفعال است. این ویروس بخش بوت اصلی سیستم عامل (MBR) را به شکل رمزگذاری شده عملیات XOR بیتی (xor 0x7) ذخیره می کند و سپس بوت لودر خود را به جای بخش فوق می نویسد؛ بقیه کد تروجان در قسمت فوق نوشته می شود. اولین بخش های دیسک این مرحله یک فایل متنی در مورد رمزگذاری ایجاد می کند، اما داده ها در واقع هنوز رمزگذاری نشده اند.

چرا اینطور است؟ زیرا آنچه در بالا توضیح داده شد فقط آماده سازی برای رمزگذاری دیسک است و تنها پس از راه اندازی مجدد سیستم شروع می شود.

دوم: پس از راه اندازی مجدد، مرحله دوم عملیات ویروس آغاز می شود - رمزگذاری داده ها، اکنون به بخش پیکربندی خود می رود، که در آن پرچم تنظیم می شود که داده ها هنوز رمزگذاری نشده اند و باید رمزگذاری شوند. پس از این، فرآیند رمزگذاری آغاز می شود که شبیه برنامه Check Disk است.

فرآیند رمزگذاری آغاز شد، اما عوامل خارجی (به عنوان مثال: قطع برق و غیره) روند رمزگذاری را متوقف کردند.
فرآیند رمزگذاری جدول MFT به دلیل عواملی که به کاربر بستگی ندارد (عیب عملکرد ویروس، واکنش نرم افزار ضد ویروس به اقدامات ویروس و غیره) هنوز شروع نشده است.

بوت شدن از دیسک نصب ویندوز؛

اگر پس از بوت شدن از دیسک نصب ویندوز، جدولی با پارتیشن های دیسک سخت قابل مشاهده است، می توانید فرآیند بازیابی MBR را شروع کنید.

برای ویندوز XP:

پس از بارگیری دیسک نصب ویندوز XP در رم رایانه شخصی، کادر محاوره ای "Install Windows XP Professional" ظاهر می شود که حاوی منوی انتخاب است، باید مورد "برای بازیابی ویندوز XP با استفاده از کنسول بازیابی، دکمه R را فشار دهید" را انتخاب کنید. . کلید "R" را فشار دهید.

کنسول بازیابی بارگیری می شود.

اگر رایانه شخصی یک سیستم عامل نصب داشته باشد و (به طور پیش فرض) روی درایو C نصب شده باشد، پیام زیر ظاهر می شود:

"1:C:\WINDOWS به کدام نسخه از ویندوز باید وارد شوم؟"

کلید "1" را تایپ کنید، کلید "Enter" را فشار دهید.

پیامی ظاهر می شود: «گذرواژه مدیر خود را وارد کنید». رمز عبور خود را وارد کنید، "Enter" را فشار دهید (اگر رمز عبور وجود ندارد، فقط "Enter" را فشار دهید).

اعلان سیستم باید ظاهر شود: C:\WINDOWS> fixmbr را وارد کنید

سپس پیام "WARNING" ظاهر می شود.

"آیا ورود MBR جدید را تایید می کنید؟" کلید "Y" را فشار دهید.

پیامی ظاهر می شود: "یک بخش بوت اولیه جدید در دیسک فیزیکی \Device\Harddisk0\Partition0 در حال ایجاد است."

بخش بوت اولیه جدید با موفقیت ایجاد شد.

برای ویندوز ویستا:

ویندوز ویستا را دانلود کنید. زبان و طرح صفحه کلید خود را انتخاب کنید. در صفحه خوش آمدید، روی «بازیابی رایانه خود» کلیک کنید. ویندوز ویستا منوی کامپیوتر را ویرایش می کند.

سیستم عامل خود را انتخاب کرده و روی Next کلیک کنید.

هنگامی که پنجره System Recovery Options ظاهر شد، روی Command Prompt کلیک کنید.

هنگامی که خط فرمان ظاهر شد، دستور را وارد کنید:

bootrec/FixMbr

منتظر بمانید تا عملیات کامل شود. اگر همه چیز با موفقیت انجام شود، یک پیام تأیید بر روی صفحه ظاهر می شود.

برای ویندوز 7:

ویندوز 7 را دانلود کنید.

زبان را انتخاب کنید.

طرح بندی صفحه کلید خود را انتخاب کنید.

سیستم عامل خود را انتخاب کرده و روی Next کلیک کنید. هنگام انتخاب یک سیستم عامل، باید "استفاده از ابزارهای بازیابی که می توانند به حل مشکلات راه اندازی ویندوز کمک کنند" را علامت بزنید.

در صفحه System Recovery Options، روی دکمه Command Prompt در صفحه گزینه های بازیابی سیستم ویندوز 7 کلیک کنید.

هنگامی که خط فرمان با موفقیت بوت شد، دستور را وارد کنید:

bootrec/fixmbr

کلید Enter را فشار دهید و کامپیوتر خود را مجددا راه اندازی کنید.

برای ویندوز 8

ویندوز 8 را دانلود کنید.

در صفحه خوش آمدید، روی دکمه Restore your computer کلیک کنید

ویندوز 8 منوی کامپیوتر را بازیابی می کند

Command Prompt را انتخاب کنید.

هنگامی که خط فرمان بارگیری شد، دستورات زیر را وارد کنید:

bootrec/FixMbr

منتظر بمانید تا عملیات کامل شود. اگر همه چیز با موفقیت انجام شود، یک پیام تأیید بر روی صفحه ظاهر می شود.

کلید Enter را فشار دهید و کامپیوتر خود را مجددا راه اندازی کنید.

برای ویندوز 10

ویندوز 10 را دانلود کنید.

در صفحه خوش آمدگویی، روی دکمه "Repair your computer" کلیک کنید

"عیب یابی" را انتخاب کنید

Command Prompt را انتخاب کنید.

هنگامی که خط فرمان بارگیری شد، دستور را وارد کنید:

bootrec/FixMbr

منتظر بمانید تا عملیات کامل شود. اگر همه چیز با موفقیت انجام شود، یک پیام تأیید بر روی صفحه ظاهر می شود.

کلید Enter را فشار دهید و کامپیوتر خود را مجددا راه اندازی کنید.

پس از روش بازیابی MBR، محققان توصیه می‌کنند دیسک را با برنامه‌های آنتی ویروس برای یافتن فایل‌های آلوده اسکن کنید.

متخصصان پلیس سایبری خاطرنشان می کنند که اگر فرآیند رمزگذاری آغاز شده باشد اما توسط کاربر با خاموش کردن برق رایانه در طول فرآیند رمزگذاری اولیه قطع شود، این اقدامات نیز مرتبط است. در این حالت، پس از بارگذاری سیستم عامل، می توانید از نرم افزار بازیابی فایل ها (مانند RStudio) استفاده کنید، سپس آنها را در رسانه خارجی کپی کرده و سیستم را مجدداً نصب کنید.

همچنین توجه داشته باشید که اگر از برنامه‌های بازیابی اطلاعات استفاده می‌کنید که بخش بوت آن‌ها را ضبط می‌کنند (مانند Acronis True Image)، ویروس به این پارتیشن برخورد نمی‌کند و می‌توانید وضعیت کار سیستم را به تاریخ چک بازگردانید.

پلیس سایبری گزارش داد که غیر از اطلاعات ثبت نامی ارائه شده توسط کاربران برنامه M.E.doc، هیچ اطلاعاتی مخابره نشده است.

به یاد بیاوریم که در 27 ژوئن 2017، یک حمله سایبری گسترده از ویروس رمزگذاری Petya.A به سیستم های فناوری اطلاعات شرکت ها و سازمان های دولتی اوکراین آغاز شد.