Petya ウイルスによる攻撃後にオペレーティング システムへのアクセスを復元する方法: ウクライナのサイバー警察からの推奨事項

ウクライナ国家警察サイバー警察署は、Petya.A 暗号化ウイルスによるサイバー攻撃を受けたコンピューターへのアクセスを復元する方法に関する推奨事項をユーザー向けに公開しました。

Petya.A ランサムウェア ウイルスを研究する過程で、研究者はマルウェアの影響に関するいくつかのオプションを特定しました (管理者権限でウイルスを実行する場合)。

システムは完全に侵害されています。 データを回復するには秘密キーが必要で、データを復号化するためのキーを取得するために身代金の支払いを求めるウィンドウが画面に表示されます。

コンピュータが感染し、部分的に暗号化されます。 システムは暗号化プロセスを開始しましたが、外部要因 (例: 停電など) により暗号化プロセスが停止しました。

コンピュータは感染していますが、MFT テーブルの暗号化プロセスはまだ開始されていません。

最初のオプションに関しては、残念ながら、現時点ではデータを復号化することが保証された方法はありません。 サイバー警察署、SBU、DSSTZI、ウクライナおよび国際的な IT 企業の専門家が、この問題の解決に積極的に取り組んでいます。

同時に、最後の 2 つのケースでは、MFT パーティション テーブルが壊れていないか、部分的に壊れていないため、コンピュータ上の情報を復元できる可能性があります。つまり、システムの MBR ブート セクタを復元することで、コンピュータが起動して動作します。

したがって、改変されたトロイの木馬プログラム「Petya」はいくつかの段階で動作します。

まず、特権権限 (管理者権限) を取得します。 Windows アーキテクチャ (Active Directory) の多くのコンピュータでは、これらの権限は無効になっています。 このウイルスは、オペレーティング システムの元のブート セクタ (MBR) をビットごとの XOR 演算 (xor 0x7) の暗号化された形式で保存し、上記のセクタの代わりにブートローダーを書き込みます。トロイの木馬コードの残りの部分は、ディスクの最初のセクター。 このステップでは暗号化に関するテキスト ファイルが作成されますが、データは実際にはまだ暗号化されていません。

何故ですか？ なぜなら、上記の説明はディスク暗号化の準備にすぎず、システムの再起動後にのみ開始されるからです。

2 番目: 再起動後、ウイルスの動作の第 2 段階であるデータ暗号化が始まります。今度は構成セクターに移り、データがまだ暗号化されていないため暗号化する必要があることを示すフラグが設定されます。 この後、チェック ディスク プログラムと同様の暗号化プロセスが開始されます。

暗号化プロセスが開始されましたが、外部要因 (例: 停電など) により暗号化プロセスが停止しました。
ユーザーに依存しない要因 (ウイルスの誤動作、ウイルスの動作に対するウイルス対策ソフトウェアの反応など) により、MFT テーブルの暗号化プロセスはまだ開始されていません。

Windows インストール ディスクから起動します。

Windows インストール ディスクから起動した後、ハード ドライブ パーティションを含むテーブルが表示される場合は、MBR 回復プロセスを開始できます。

Windows XP の場合:

Windows XP インストール ディスクを PC の RAM にロードすると、[Windows XP Professional のインストール] ダイアログ ボックスが表示され、選択メニューが表示されます。[回復コンソールを使用して Windows XP を復元するには、R キーを押します] 項目を選択する必要があります。 。 「R」キーを押します。

回復コンソールがロードされます。

PC に 1 つの OS がインストールされており、それが (デフォルトで) C ドライブにインストールされている場合、次のメッセージが表示されます。

「1:C:\WINDOWS Windows のどのコピーにサインインすればよいですか?」

「1」キーを入力し、「Enter」キーを押します。

「管理者パスワードを入力してください」というメッセージが表示されます。 パスワードを入力し、「Enter」を押します（パスワードがない場合は、単に「Enter」を押します）。

システム プロンプトが表示されます: C:\WINDOWS> enter fixmbr

「警告」というメッセージが表示されます。

「新しいMBRの入力を確認していますか？」 「Y」キーを押します。

「新しいプライマリ ブート セクタが物理ディスク \Device\Harddisk0\Partition0 に作成されています。」というメッセージが表示されます。

「新しいプライマリ ブート セクタが正常に作成されました。」

Windows Vista の場合:

Windows Vista をダウンロードします。 言語とキーボード レイアウトを選択します。 ようこそ画面で、「コンピュータを復元する」をクリックします。 Windows Vista はコンピュータ メニューを編集します。

オペレーティング システムを選択し、[次へ] をクリックします。

「システム回復オプション」ウィンドウが表示されたら、「コマンド プロンプト」をクリックします。

コマンド プロンプトが表示されたら、次のコマンドを入力します。

ブートレック/FixMbr

操作が完了するまで待ちます。 すべてが成功すると、確認メッセージが画面に表示されます。

Windows 7の場合:

Windows 7 をダウンロードします。

言語を選択。

キーボードのレイアウトを選択します。

オペレーティング システムを選択し、[次へ] をクリックします。 オペレーティング システムを選択するときは、「Windows の起動時の問題の解決に役立つ回復ツールを使用する」にチェックを入れる必要があります。

「システム回復オプション」画面で、「Windows 7 システム回復オプション」画面の「コマンド プロンプト」ボタンをクリックします。

コマンド プロンプトが正常に起動したら、次のコマンドを入力します。

ブートレック/fixmbr

Enter キーを押してコンピュータを再起動します。

Windows 8の場合

Windows 8 をダウンロードします。

ようこそ画面で、「コンピュータを復元する」ボタンをクリックします。

Windows 8はコンピュータメニューを復元します

コマンドプロンプトを選択します。

コマンド プロンプトが読み込まれたら、次のコマンドを入力します。

ブートレック/FixMbr

操作が完了するまで待ちます。 すべてが成功すると、確認メッセージが画面に表示されます。

Enter キーを押してコンピュータを再起動します。

Windows 10の場合

Windows 10 をダウンロードします。

ようこそ画面で「コンピュータを修復する」ボタンをクリックします

「トラブルシューティング」を選択します

コマンドプロンプトを選択します。

コマンド プロンプトが読み込まれたら、次のコマンドを入力します。

ブートレック/FixMbr

操作が完了するまで待ちます。 すべてが成功すると、確認メッセージが画面に表示されます。

Enter キーを押してコンピュータを再起動します。

研究者らは、MBR 回復手順の後、ウイルス対策プログラムを使用してディスクをスキャンし、感染したファイルがないかどうかを確認することを推奨しています。

サイバー警察の専門家は、これらの措置は、暗号化プロセスが開始されたものの、最初の暗号化プロセス中にユーザーがコンピューターの電源をオフにして中断した場合にも関連すると指摘しています。 この場合、OS をロードした後、ファイル回復ソフトウェア (RStudio など) を使用し、ファイルを外部メディアにコピーしてシステムを再インストールできます。

また、ブート セクタを記録するデータ回復プログラム (Acronis True Image など) を使用すると、ウイルスがこのパーティションに影響を与えず、システムの動作状態をチェックポイントの日付に戻すことができることにも注意してください。

サイバー警察は、M.E.doc プログラムのユーザーが提供した登録データ以外には情報は送信されていないと報告しました。

2017 年 6 月 27 日、ウクライナの企業や政府機関の IT システムに対して、Petya.A 暗号化ウイルスによる大規模なサイバー攻撃が開始されたことを思い出してください。