Kā atjaunot piekļuvi operētājsistēmai pēc Petya vīrusa uzbrukuma: Ukrainas Kiberpolicijas ieteikumi

Ukrainas Nacionālās policijas Kiberpolicijas departaments ir publicējis ieteikumus lietotājiem, kā atjaunot piekļuvi datoriem, kuri ir pakļauti šifrēšanas vīrusa Petya.A kiberuzbrukumam.

Pētot Petya.A izspiedējvīrusu, pētnieki identificēja vairākas ļaunprogrammatūras ietekmes iespējas (palaižot vīrusu ar administratora tiesībām):

Sistēma ir pilnībā apdraudēta. Lai atgūtu datus, ir nepieciešama privātā atslēga, un ekrānā tiek parādīts logs, kurā tiek prasīts samaksāt izpirkuma maksu, lai iegūtu atslēgu datu atšifrēšanai.

Datori ir inficēti un daļēji šifrēti. Sistēma uzsāka šifrēšanas procesu, bet ārējie faktori (piem., strāvas padeves pārtraukums utt.) apturēja šifrēšanas procesu.

Datori ir inficēti, bet MFT tabulas šifrēšanas process vēl nav sācies.

Kas attiecas uz pirmo iespēju, diemžēl pašlaik nav metodes, kas garantētu datu atšifrēšanu. Lai atrisinātu šo problēmu, aktīvi strādā speciālisti no Kiberpolicijas departamenta, SBU, DSSTZI, Ukrainas un starptautiskajiem IT uzņēmumiem.

Tajā pašā laikā pēdējos divos gadījumos ir iespēja atjaunot datorā esošo informāciju, jo MFT sadalīšanas tabula nav bojāta vai daļēji bojāta, kas nozīmē, ka, atjaunojot sistēmas MBR sāknēšanas sektoru, dators sāksies un darbosies.

Tādējādi modificētā Trojas programma “Petya” darbojas vairākos posmos:

Pirmkārt: priviliģēto tiesību iegūšana (administratora tiesības). Daudzos datoros ar Windows arhitektūru (Active Directory) šīs tiesības ir atspējotas. Vīruss saglabā oriģinālo operētājsistēmas sāknēšanas sektoru (MBR) bitu XOR operācijas šifrētā veidā (xor 0x7) un pēc tam ieraksta savu sāknēšanas ielādētāju iepriekš minētā sektora vietā; pārējais Trojas kods tiek ierakstīts pirmie diska sektori. Veicot šo darbību, tiek izveidots teksta fails par šifrēšanu, taču dati vēl nav šifrēti.

Kāpēc ir tā, ka? Jo iepriekš aprakstītais ir tikai sagatavošanās diska šifrēšanai un tā sāksies tikai pēc sistēmas restartēšanas.

Otrkārt: pēc pārstartēšanas sākas vīrusa darbības otrā fāze - datu šifrēšana, tagad tas pāriet uz tā konfigurācijas sektoru, kurā ir iestatīts karogs, ka dati vēl nav šifrēti un ir jāšifrē. Pēc tam sākas šifrēšanas process, kas izskatās kā programma Check Disk.

Šifrēšanas process tika uzsākts, bet ārējie faktori (piem.: strāvas padeves pārtraukums utt.) apturēja šifrēšanas procesu;
MFT tabulas šifrēšanas process vēl nav sācies tādu faktoru dēļ, kas nebija atkarīgi no lietotāja (vīrusa darbības traucējumi, pretvīrusu programmatūras reakcija uz vīrusa darbībām utt.).

Sāknēšana no Windows instalācijas diska;

Ja pēc sāknēšanas no Windows instalācijas diska ir redzama tabula ar cietā diska nodalījumiem, varat sākt MBR atkopšanas procesu;

Operētājsistēmai Windows XP:

Pēc Windows XP instalācijas diska ielādēšanas datora operatīvajā atmiņā parādīsies dialoglodziņš "Instalēt Windows XP Professional", kurā ir atlases izvēlne, jums jāizvēlas vienums "lai atjaunotu Windows XP, izmantojot atkopšanas konsoli, nospiediet taustiņu R." . Nospiediet taustiņu "R".

Tiks ielādēta atkopšanas konsole.

Ja datorā ir instalēta viena OS un tā (pēc noklusējuma) ir instalēta C diskdzinī, tiks parādīts šāds ziņojums:

"1:C:\WINDOWS Kurā Windows kopijā man ir jāpierakstās?"

Ievadiet taustiņu "1", nospiediet taustiņu "Enter".

Tiks parādīts ziņojums: "Ievadiet savu administratora paroli." Ievadiet savu paroli, nospiediet "Enter" (ja paroles nav, vienkārši nospiediet "Enter").

Jāparādās sistēmas uzvednei: C:\WINDOWS> ievadiet fixmbr

Pēc tam parādīsies ziņojums “BRĪDINĀJUMS”.

"Vai jūs apstiprināt jaunā MBR ievadīšanu?" Nospiediet taustiņu "Y".

Tiks parādīts ziņojums: "Fiziskajā diskā \Device\Harddisk0\Partition0 tiek izveidots jauns primārais sāknēšanas sektors."

"Jaunais primārais sāknēšanas sektors ir veiksmīgi izveidots."

Operētājsistēmai Windows Vista:

Lejupielādējiet Windows Vista. Izvēlieties valodu un tastatūras izkārtojumu. Sveiciena ekrānā noklikšķiniet uz "Atjaunot datoru". Windows Vista rediģēs datora izvēlni.

Izvēlieties savu operētājsistēmu un noklikšķiniet uz Tālāk.

Kad tiek parādīts logs Sistēmas atkopšanas opcijas, noklikšķiniet uz Komandu uzvedne.

Kad tiek parādīta komandu uzvedne, ievadiet komandu:

bootrec/FixMbr

Pagaidiet, līdz operācija tiks pabeigta. Ja viss ir veiksmīgi, ekrānā parādīsies apstiprinājuma ziņojums.

Operētājsistēmai Windows 7:

Lejupielādēt Windows 7.

Izvēlieties valodu.

Izvēlieties tastatūras izkārtojumu.

Izvēlieties savu operētājsistēmu un noklikšķiniet uz Tālāk. Izvēloties operētājsistēmu, jāatzīmē "Izmantot atkopšanas rīkus, kas var palīdzēt atrisināt problēmas, startējot Windows".

Sistēmas atkopšanas opciju ekrānā noklikšķiniet uz pogas Komandu uzvedne Windows 7 sistēmas atkopšanas opciju ekrānā.

Kad komandu uzvedne veiksmīgi sāknējas, ievadiet komandu:

bootrec/fixmbr

Nospiediet taustiņu Enter un restartējiet datoru.

Operētājsistēmai Windows 8

Lejupielādēt Windows 8.

Sveiciena ekrānā noklikšķiniet uz pogas Atjaunot datoru

Windows 8 atjaunos datora izvēlni

Atlasiet Komandu uzvedne.

Kad tiek ielādēta komandu uzvedne, ievadiet šādas komandas:

bootrec/FixMbr

Pagaidiet, līdz operācija tiks pabeigta. Ja viss ir veiksmīgi, ekrānā parādīsies apstiprinājuma ziņojums.

Nospiediet taustiņu Enter un restartējiet datoru.

Operētājsistēmai Windows 10

Lejupielādēt Windows 10.

Sveiciena ekrānā noklikšķiniet uz pogas Labot datoru

Izvēlieties "Problēmu novēršana"

Atlasiet Komandu uzvedne.

Kad tiek ielādēta komandu uzvedne, ievadiet komandu:

bootrec/FixMbr

Pagaidiet, līdz operācija tiks pabeigta. Ja viss ir veiksmīgi, ekrānā parādīsies apstiprinājuma ziņojums.

Nospiediet taustiņu Enter un restartējiet datoru.

Pēc MBR atkopšanas procedūras pētnieki iesaka skenēt disku ar pretvīrusu programmām, lai atrastu inficētus failus.

Kiberpolicijas speciālisti atzīmē, ka šīs darbības ir aktuālas arī tad, ja šifrēšanas process ir sākts, bet to pārtraucis lietotājs, sākotnējā šifrēšanas procesa laikā izslēdzot datora barošanu. Šādā gadījumā pēc operētājsistēmas ielādes varat izmantot failu atkopšanas programmatūru (piemēram, RStudio), pēc tam kopēt tos ārējā datu nesējā un pārinstalēt sistēmu.

Tāpat tiek atzīmēts, ka, ja izmantojat datu atkopšanas programmas, kas ieraksta to sāknēšanas sektoru (piemēram, Acronis True Image), vīruss nepieskaras šim nodalījumam un jūs varat atgriezt sistēmas darba stāvokli uz kontrolpunkta datumu.

Kiberpolicija ziņoja, ka nekāda informācija, izņemot M.E.doc programmas lietotāju sniegtos reģistrācijas datus, netika pārsūtīta.

Atgādināsim, ka 2017. gada 27. jūnijā Ukrainas uzņēmumu un valsts aģentūru IT sistēmām sākās vērienīgs Petya.A šifrēšanas vīrusa kiberuzbrukums.