Kako vratiti pristup operativnom sustavu nakon napada virusa Petya: preporuke Cyber ​​​​policije Ukrajine

Cyber ​​​​policija Nacionalne policije Ukrajine objavila je preporuke za korisnike o tome kako vratiti pristup računalima koja su bila izložena cyber napadu enkripcijskog virusa Petya.A.

U procesu proučavanja Petya.A ransomware virusa, istraživači su identificirali nekoliko opcija za utjecaj zlonamjernog softvera (kada se virus pokreće s administratorskim pravima):

Sustav je potpuno ugrožen. Za oporavak podataka potreban je privatni ključ, a na zaslonu se pojavljuje prozor u kojem se traži da platite otkupninu za dobivanje ključa za dešifriranje podataka.

Računala su zaražena i djelomično šifrirana. Sustav je započeo proces enkripcije, ali su vanjski čimbenici (npr. nestanak struje i sl.) zaustavili proces enkripcije.

Računala su zaražena, ali proces šifriranja MFT tablice još nije započeo.

Što se tiče prve opcije, nažalost, trenutno ne postoji metoda koja jamči dešifriranje podataka. Stručnjaci iz Odjela kibernetičke policije, SBU, DSSTZI, ukrajinskih i međunarodnih IT tvrtki aktivno rade na rješavanju ovog problema.

Istodobno, u posljednja dva slučaja postoji šansa za vraćanje informacija koje se nalaze na računalu, budući da MFT particijska tablica nije pokvarena ili djelomično pokvarena, što znači da vraćanjem MBR boot sektora sustava, računalo će se pokrenuti i raditi.

Dakle, modificirani trojanski program “Petya” radi u nekoliko faza:

Prvo: dobivanje privilegiranih prava (administratorska prava). Na mnogim računalima u Windows arhitekturi (Active Directory) ta su prava onemogućena. Virus sprema izvorni boot sektor za operativni sustav (MBR) u šifriranom obliku XOR operacije po bitovima (xor 0x7), a zatim zapisuje svoj bootloader umjesto gornjeg sektora; ostatak trojanskog koda zapisuje se u prvih sektora diska. Ovaj korak stvara tekstualnu datoteku o enkripciji, ali podaci zapravo još nisu šifrirani.

Zašto je to? Budući da je gore opisano samo priprema za šifriranje diska i započet će tek nakon ponovnog pokretanja sustava.

Drugo: nakon ponovnog pokretanja počinje druga faza rada virusa - enkripcija podataka, on se sada okreće svom konfiguracijskom sektoru, u kojem je postavljena zastavica da podaci još nisu šifrirani i da ih treba šifrirati. Nakon toga počinje proces enkripcije koji izgleda kao program Check Disk.

Proces šifriranja je pokrenut, ali su vanjski čimbenici (npr. nestanak struje, itd.) zaustavili proces enkripcije;
Proces šifriranja MFT tablice još nije započeo zbog čimbenika koji ne ovise o korisniku (kvar virusa, reakcija antivirusnog softvera na djelovanje virusa itd.).

Pokrenite sustav s instalacijskog diska sustava Windows;

Ako je nakon dizanja s Windows instalacijskog diska vidljiva tablica s particijama tvrdog diska, tada možete započeti proces oporavka MBR-a;

Za Windows XP:

Nakon učitavanja instalacijskog diska sustava Windows XP u RAM računala, pojavit će se dijaloški okvir "Instaliraj Windows XP Professional", koji sadrži izbornik za odabir, morate odabrati stavku "za vraćanje sustava Windows XP pomoću konzole za oporavak, pritisnite R." . Pritisnite tipku "R".

Učitat će se konzola za oporavak.

Ako računalo ima instaliran jedan OS i on je (prema zadanim postavkama) instaliran na C disku, pojavit će se sljedeća poruka:

"1:C:\WINDOWS Na koju se kopiju sustava Windows trebam prijaviti?"

Upišite tipku "1", pritisnite tipku "Enter".

Pojavit će se poruka: "Unesite svoju administratorsku lozinku." Unesite lozinku, pritisnite "Enter" (ako nema lozinke, samo pritisnite "Enter").

Trebao bi se pojaviti upit sustava: C:\WINDOWS> unesite fixmbr

Zatim će se pojaviti poruka "UPOZORENJE".

"Potvrđujete li unos novog MBR-a?" Pritisnite tipku "Y".

Pojavit će se poruka: "Novi primarni sektor za pokretanje se stvara na fizičkom disku \Device\Harddisk0\Partition0."

"Novi primarni sektor za pokretanje uspješno je kreiran."

Za Windows Vista:

Preuzmite sustav Windows Vista. Odaberite svoj jezik i raspored tipkovnice. Na zaslonu dobrodošlice kliknite "Vratite svoje računalo". Windows Vista uredit će izbornik računala.

Odaberite svoj operativni sustav i kliknite Dalje.

Kada se pojavi prozor System Recovery Options, kliknite na Command Prompt.

Kada se pojavi naredbeni redak, unesite naredbu:

bootrec/FixMbr

Pričekajte da se operacija završi. Ako je sve uspješno, na zaslonu će se pojaviti poruka potvrde.

Za Windows 7:

Preuzmite Windows 7.

Odaberite jezik.

Odaberite raspored tipkovnice.

Odaberite svoj operativni sustav i kliknite Dalje. Prilikom odabira operativnog sustava, trebali biste označiti "Koristite alate za oporavak koji mogu pomoći u rješavanju problema s pokretanjem sustava Windows."

Na zaslonu s opcijama oporavka sustava kliknite gumb naredbenog retka na zaslonu s opcijama oporavka sustava Windows 7

Kada se naredbeni redak uspješno pokrene, unesite naredbu:

bootrec/fixmbr

Pritisnite tipku Enter i ponovno pokrenite računalo.

Za Windows 8

Preuzmite Windows 8.

Na zaslonu dobrodošlice kliknite gumb Vratite svoje računalo

Windows 8 će vratiti izbornik računala

Odaberite naredbeni redak.

Kada se učita naredbeni redak, unesite sljedeće naredbe:

bootrec/FixMbr

Pričekajte da se operacija završi. Ako je sve uspješno, na zaslonu će se pojaviti poruka potvrde.

Pritisnite tipku Enter i ponovno pokrenite računalo.

Za Windows 10

Preuzmite Windows 10.

Na početnom ekranu kliknite gumb "Popravi svoje računalo".

Odaberite "Rješavanje problema"

Odaberite naredbeni redak.

Kada se naredbeni redak učita, unesite naredbu:

bootrec/FixMbr

Pričekajte da se operacija završi. Ako je sve uspješno, na zaslonu će se pojaviti poruka potvrde.

Pritisnite tipku Enter i ponovno pokrenite računalo.

Nakon postupka oporavka MBR-a, istraživači preporučuju skeniranje diska antivirusnim programima u potrazi za zaraženim datotekama.

Stručnjaci kibernetičke policije napominju da su ove radnje također relevantne ako je proces enkripcije pokrenut, ali ga je korisnik prekinuo isključivanjem napajanja računala tijekom početnog procesa enkripcije. U tom slučaju, nakon učitavanja OS-a, možete koristiti softver za oporavak datoteka (kao što je RStudio), zatim ih kopirati na vanjski medij i ponovno instalirati sustav.

Također se napominje da ako koristite programe za oporavak podataka koji bilježe svoj sektor za pokretanje (kao što je Acronis True Image), virus ne dira ovu particiju i možete vratiti radno stanje sustava na datum kontrolne točke.

Cyberpolicija je izvijestila da osim podataka o registraciji koje su dali korisnici programa M.E.doc, nisu prenesene nikakve informacije.

Podsjetimo, 27. lipnja 2017. započeo je veliki kibernetički napad enkripcijskim virusom Petya.A na IT sustave ukrajinskih tvrtki i državnih agencija.