Cara memulihkan akses ke sistem operasi setelah serangan virus Petya: rekomendasi dari Polisi Cyber ​​​​Ukraina

Departemen Kepolisian Siber Kepolisian Nasional Ukraina telah menerbitkan rekomendasi bagi pengguna tentang cara memulihkan akses ke komputer yang terkena serangan siber oleh virus enkripsi Petya.A.

Dalam proses mempelajari virus ransomware Petya.A, peneliti mengidentifikasi beberapa opsi dampak malware (saat menjalankan virus dengan hak administrator):

Sistem ini sepenuhnya dikompromikan. Untuk memulihkan data, diperlukan kunci pribadi, dan sebuah jendela muncul di layar meminta Anda membayar uang tebusan guna mendapatkan kunci untuk mendekripsi data.

Komputer terinfeksi dan dienkripsi sebagian. Sistem memulai proses enkripsi, namun faktor eksternal (misalnya: pemadaman listrik, dll.) menghentikan proses enkripsi.

Komputer terinfeksi, namun proses enkripsi tabel MFT belum dimulai.

Sedangkan untuk opsi pertama, sayangnya saat ini tidak ada metode yang dijamin dapat mendekripsi data. Spesialis dari Departemen Kepolisian Cyber, SBU, DSSTZI, perusahaan IT Ukraina dan internasional secara aktif berupaya mengatasi masalah ini.

Pada saat yang sama, dalam dua kasus terakhir ada peluang untuk memulihkan informasi yang ada di komputer, karena tabel partisi MFT tidak rusak atau rusak sebagian, yang berarti dengan memulihkan sektor boot MBR sistem, maka komputer akan mulai dan bekerja.

Dengan demikian, program Trojan “Petya” yang dimodifikasi bekerja dalam beberapa tahap:

Pertama: memperoleh hak istimewa (hak administrator). Pada banyak komputer dengan arsitektur Windows (Active Directory), hak ini dinonaktifkan. Virus menyimpan sektor boot asli untuk sistem operasi (MBR) dalam bentuk terenkripsi dari operasi XOR bitwise (xor 0x7), dan kemudian menulis bootloadernya sebagai pengganti sektor di atas; sisa kode Trojan ditulis ke sektor pertama dari disk. Langkah ini membuat file teks tentang enkripsi, namun data sebenarnya belum dienkripsi.

Mengapa demikian? Karena apa yang dijelaskan di atas hanyalah persiapan untuk enkripsi disk dan itu akan dimulai hanya setelah sistem di-restart.

Kedua: setelah reboot, fase kedua dari operasi virus dimulai - enkripsi data, sekarang beralih ke sektor konfigurasinya, di mana tanda disetel bahwa data belum dienkripsi dan perlu dienkripsi. Setelah itu, proses enkripsi dimulai, yang terlihat seperti program Periksa Disk.

Proses enkripsi telah dimulai, namun faktor eksternal (misalnya: pemadaman listrik, dll.) menghentikan proses enkripsi;
Proses enkripsi tabel MFT belum dimulai karena faktor di luar kendali pengguna (kerusakan virus, reaksi perangkat lunak anti-virus terhadap tindakan virus, dll.).

Boot dari disk instalasi Windows;

Jika, setelah boot dari disk instalasi Windows, tabel dengan partisi hard disk terlihat, maka Anda dapat memulai proses pemulihan MBR;

Untuk Windows XP:

Setelah memuat disk instalasi Windows XP ke dalam RAM PC, akan muncul kotak dialog "Instal Windows XP Professional" yang berisi menu pilihan, Anda harus memilih item "untuk memulihkan Windows XP menggunakan konsol pemulihan, tekan R." . Tekan tombol "R".

Konsol Pemulihan akan dimuat.

Jika PC memiliki satu OS yang terinstal dan (secara default) diinstal pada drive C, pesan berikut akan muncul:

"1:C:\WINDOWS Salinan Windows mana yang harus saya masuki?"

Ketik tombol "1", tekan tombol "Enter".

Sebuah pesan akan muncul: “Masukkan kata sandi administrator Anda.” Masukkan kata sandi Anda, tekan "Enter" (jika tidak ada kata sandi, tekan saja "Enter").

Prompt sistem akan muncul: C:\WINDOWS> masukkan fixmbr

Pesan “PERINGATAN” kemudian akan muncul.

“Apakah Anda mengonfirmasi masuknya MBR baru?” Tekan tombol "Y".

Sebuah pesan akan muncul: “Sektor boot primer baru sedang dibuat pada disk fisik \Device\Harddisk0\Partition0.”

“Sektor boot primer baru telah berhasil dibuat.”

Untuk Windows Vista:

Unduh Windows Vista. Pilih bahasa dan tata letak keyboard Anda. Pada layar Selamat Datang, klik "Pulihkan komputer Anda". Windows Vista akan mengedit menu komputer.

Pilih sistem operasi Anda dan klik Berikutnya.

Ketika jendela Opsi Pemulihan Sistem muncul, klik Command Prompt.

Saat prompt perintah muncul, masukkan perintah:

bootrec/FixMbr

Tunggu hingga operasi selesai. Jika semuanya berhasil, pesan konfirmasi akan muncul di layar.

Untuk Windows 7:

Unduh Windows 7.

Pilih bahasa.

Pilih tata letak keyboard Anda.

Pilih sistem operasi Anda dan klik Berikutnya. Saat memilih sistem operasi, Anda harus mencentang "Gunakan alat pemulihan yang dapat membantu memecahkan masalah saat memulai Windows."

Pada layar Opsi Pemulihan Sistem, klik tombol Command Prompt pada layar Opsi Pemulihan Sistem Windows 7

Ketika prompt perintah berhasil boot, masukkan perintah:

bootrec/fixmbr

Tekan tombol Enter dan restart komputer Anda.

Untuk Windows 8

Unduh Windows 8.

Pada layar Selamat Datang, klik tombol Pulihkan komputer Anda

Windows 8 akan mengembalikan menu komputer

Pilih Prompt Perintah.

Saat prompt perintah dimuat, masukkan perintah berikut:

bootrec/FixMbr

Tunggu hingga operasi selesai. Jika semuanya berhasil, pesan konfirmasi akan muncul di layar.

Tekan tombol Enter dan restart komputer Anda.

Untuk Windows 10

Unduh Windows 10.

Di layar selamat datang, klik tombol "Perbaiki komputer Anda".

Pilih "Pemecahan Masalah"

Pilih Prompt Perintah.

Saat prompt perintah dimuat, masukkan perintah:

bootrec/FixMbr

Tunggu hingga operasi selesai. Jika semuanya berhasil, pesan konfirmasi akan muncul di layar.

Tekan tombol Enter dan restart komputer Anda.

Setelah prosedur pemulihan MBR, peneliti menyarankan untuk memindai disk dengan program antivirus untuk mencari file yang terinfeksi.

Pakar polisi dunia maya mencatat bahwa tindakan ini juga relevan jika proses enkripsi telah dimulai tetapi terganggu oleh pengguna dengan mematikan daya komputer selama proses enkripsi awal. Dalam hal ini, setelah memuat OS, Anda dapat menggunakan perangkat lunak pemulihan file (seperti RStudio), lalu menyalinnya ke media eksternal dan menginstal ulang sistem.

Perlu dicatat juga bahwa jika Anda menggunakan program pemulihan data yang merekam sektor bootnya (seperti Acronis True Image), virus tidak akan menyentuh partisi ini dan Anda dapat mengembalikan status kerja sistem ke tanggal pos pemeriksaan.

Polisi siber melaporkan bahwa selain data registrasi yang diberikan oleh pengguna program M.E.doc, tidak ada informasi yang dikirimkan.

Ingatlah bahwa pada tanggal 27 Juni 2017, serangan siber skala besar dari virus enkripsi Petya.A dimulai pada sistem TI perusahaan dan lembaga pemerintah Ukraina.