Kaip atkurti prieigą prie operacinės sistemos po Petya viruso atakos: Ukrainos kibernetinės policijos rekomendacijos

Ukrainos nacionalinės policijos Kibernetinės policijos departamentas paskelbė naudotojams rekomendacijas, kaip atkurti prieigą prie kompiuterių, patyrusių Petya.A šifravimo viruso kibernetinę ataką.

Tirdami Petya.A išpirkos reikalaujantį virusą, mokslininkai nustatė keletą kenkėjiškų programų poveikio variantų (kai virusas paleistas administratoriaus teisėmis):

Sistema yra visiškai pažeista. Norint atkurti duomenis, reikalingas privatus raktas, o ekrane pasirodo langas, kuriame prašoma sumokėti išpirką, kad gautumėte raktą duomenims iššifruoti.

Kompiuteriai yra užkrėsti ir iš dalies užšifruoti. Sistema pradėjo šifravimo procesą, tačiau išoriniai veiksniai (pvz.: elektros energijos tiekimas ir pan.) sustabdė šifravimo procesą.

Kompiuteriai užkrėsti, tačiau MFT lentelės šifravimo procesas dar nepradėtas.

Kalbant apie pirmąjį variantą, deja, šiuo metu nėra jokio metodo, kuris garantuotų duomenų iššifravimą. Kibernetinės policijos departamento, SBU, DSSTZI, Ukrainos ir tarptautinių IT įmonių specialistai aktyviai stengiasi išspręsti šią problemą.

Tuo pačiu metu paskutiniais dviem atvejais yra galimybė atkurti kompiuteryje esančią informaciją, nes MFT skaidymo lentelė nėra sugadinta arba iš dalies sugadinta, o tai reiškia, kad atkūrus sistemos MBR įkrovos sektorių, kompiuteris įsijungs ir veiks.

Taigi modifikuota Trojos programa „Petya“ veikia keliais etapais:

Pirma: privilegijuotųjų teisių (administratoriaus teisių) gavimas. Daugelyje „Windows“ architektūros („Active Directory“) kompiuterių šios teisės yra išjungtos. Virusas išsaugo pradinį operacinės sistemos įkrovos sektorių (MBR) šifruota bitų XOR operacijos forma (xor 0x7), o tada įrašo įkrovos įkroviklį vietoje aukščiau nurodyto sektoriaus; likusi Trojos arklys kodas įrašomas į pirmieji disko sektoriai. Šis veiksmas sukuria tekstinį failą apie šifravimą, tačiau duomenys dar nėra užšifruoti.

Kodėl taip? Nes tai, kas aprašyta aukščiau, yra tik pasiruošimas disko šifravimui ir jis prasidės tik iš naujo paleidus sistemą.

Antra: po perkrovimo prasideda antrasis viruso veikimo etapas - duomenų šifravimas, dabar jis pereina į savo konfigūracijos sektorių, kuriame uždedama vėliavėlė, kad duomenys dar nešifruoti ir juos reikia šifruoti. Po to prasideda šifravimo procesas, kuris atrodo kaip programa „Check Disk“.

Šifravimo procesas buvo pradėtas, tačiau išoriniai veiksniai (pvz.: elektros energijos tiekimas ir pan.) sustabdė šifravimo procesą;
MFT lentelės šifravimo procesas dar neprasidėjo dėl veiksnių, kurie nepriklausė nuo vartotojo (viruso gedimas, antivirusinės programinės įrangos reakcija į viruso veiksmus ir kt.).

Paleiskite iš Windows diegimo disko;

Jei po paleidimo iš „Windows“ diegimo disko matoma lentelė su standžiojo disko skaidiniais, galite pradėti MBR atkūrimo procesą;

„Windows XP“:

Įkėlus „Windows XP“ diegimo diską į kompiuterio RAM, pasirodys dialogo langas „Įdiegti Windows XP Professional“, kuriame yra pasirinkimo meniu, turite pasirinkti elementą „Norėdami atkurti Windows XP naudodami atkūrimo konsolę, paspauskite R“. . Paspauskite "R" klavišą.

Bus įkelta atkūrimo konsolė.

Jei kompiuteryje įdiegta viena OS ir ji (pagal numatytuosius nustatymus) įdiegta C diske, pasirodys šis pranešimas:

"1:C:\WINDOWS Prie kokios Windows kopijos turėčiau prisijungti?"

Įveskite klavišą „1“, paspauskite klavišą „Enter“.

Pasirodys pranešimas: „Įveskite administratoriaus slaptažodį“. Įveskite slaptažodį, paspauskite „Enter“ (jei slaptažodžio nėra, tiesiog paspauskite „Enter“).

Turėtų pasirodyti sistemos raginimas: C:\WINDOWS> įveskite fixmbr

Tada pasirodys pranešimas „ĮSPĖJIMAS“.

„Ar patvirtinate naujojo MBR įvedimą? Paspauskite "Y" klavišą.

Bus rodomas pranešimas: „Fiziniame diske \Device\Harddisk0\Partition0 kuriamas naujas pagrindinis įkrovos sektorius.

"Sėkmingai sukurtas naujas pagrindinis įkrovos sektorius."

„Windows Vista“:

Atsisiųskite „Windows Vista“. Pasirinkite kalbą ir klaviatūros išdėstymą. Pasisveikinimo ekrane spustelėkite „Atkurti kompiuterį“. „Windows Vista“ redaguoja kompiuterio meniu.

Pasirinkite operacinę sistemą ir spustelėkite Pirmyn.

Kai pasirodys sistemos atkūrimo parinkčių langas, spustelėkite komandų eilutę.

Kai pasirodys komandų eilutė, įveskite komandą:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

„Windows 7“:

Atsisiųskite „Windows 7“.

Pasirinkite kalbą.

Pasirinkite klaviatūros išdėstymą.

Pasirinkite operacinę sistemą ir spustelėkite Pirmyn. Renkantis operacinę sistemą, turėtumėte pažymėti "Naudoti atkūrimo įrankius, kurie gali padėti išspręsti problemas paleidžiant "Windows".

Sistemos atkūrimo parinkčių ekrane spustelėkite komandų eilutės mygtuką, esantį „Windows 7“ sistemos atkūrimo parinkčių ekrane

Kai komandų eilutė sėkmingai paleidžiama, įveskite komandą:

bootrec/fixmbr

Paspauskite Enter ir iš naujo paleiskite kompiuterį.

Skirta „Windows 8“.

Atsisiųskite „Windows 8“.

Sveikinimo ekrane spustelėkite mygtuką Atkurti kompiuterį

„Windows 8“ atkurs kompiuterio meniu

Pasirinkite komandų eilutę.

Kai įkeliama komandų eilutė, įveskite šias komandas:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

Paspauskite Enter ir iš naujo paleiskite kompiuterį.

Skirta „Windows 10“.

Atsisiųskite „Windows 10“.

Pasisveikinimo ekrane spustelėkite mygtuką „Pataisyti kompiuterį“.

Pasirinkite "Trikčių šalinimas"

Pasirinkite komandų eilutę.

Kai įkeliama komandų eilutė, įveskite komandą:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

Paspauskite Enter ir iš naujo paleiskite kompiuterį.

Po MBR atkūrimo procedūros mokslininkai rekomenduoja nuskaityti diską antivirusinėmis programomis, ar nėra užkrėstų failų.

Kibernetinės policijos specialistai pažymi, kad šie veiksmai aktualūs ir tuo atveju, jei šifravimo procesas buvo pradėtas, tačiau jį nutraukė vartotojas pradinio šifravimo proceso metu išjungdamas kompiuterio maitinimą. Tokiu atveju, įkėlus OS, galite naudoti failų atkūrimo programinę įrangą (pvz., RStudio), tada nukopijuoti juos į išorinę laikmeną ir iš naujo įdiegti sistemą.

Taip pat pažymima, kad jei naudojate duomenų atkūrimo programas, kurios įrašo jų įkrovos sektorių (pvz., Acronis True Image), virusas šio skaidinio nepaliečia ir galite grąžinti sistemos darbinę būseną į kontrolinio taško datą.

Kibernetinė policija pranešė, kad, išskyrus M.E.doc programos vartotojų pateiktus registracijos duomenis, jokia informacija nebuvo perduota.

Prisiminkime, kad 2017 metų birželio 27 dieną Ukrainos įmonių ir vyriausybinių įstaigų IT sistemose prasidėjo plataus masto Petya.A šifravimo viruso kibernetinė ataka.