Jak przywrócić dostęp do systemu operacyjnego po ataku wirusa Petya: zalecenia Cyberpolicji Ukrainy

Departament Cyberpolicji Policji Narodowej Ukrainy opublikował zalecenia dla użytkowników dotyczące przywracania dostępu do komputerów, które padły ofiarą cyberataku wirusa szyfrującego Petya.A.

Podczas badania wirusa ransomware Petya.A badacze zidentyfikowali kilka opcji wpływu złośliwego oprogramowania (podczas uruchamiania wirusa z uprawnieniami administratora):

System jest całkowicie zagrożony. Do odzyskania danych wymagany jest klucz prywatny, a na ekranie pojawia się okno z prośbą o zapłacenie okupu w celu uzyskania klucza umożliwiającego odszyfrowanie danych.

Komputery są zainfekowane i częściowo zaszyfrowane. System rozpoczął proces szyfrowania, jednak czynniki zewnętrzne (np. przerwa w dostawie prądu itp.) przerwały proces szyfrowania.

Komputery są zainfekowane, ale proces szyfrowania tabeli MFT jeszcze się nie rozpoczął.

Jeśli chodzi o pierwszą opcję, niestety obecnie nie ma metody gwarantującej odszyfrowanie danych. Nad rozwiązaniem tego problemu aktywnie pracują specjaliści z Departamentu Cyberpolicji, SBU, DSSTZI, ukraińskich i międzynarodowych firm informatycznych.

Jednocześnie w dwóch ostatnich przypadkach istnieje szansa na przywrócenie informacji znajdujących się na komputerze, ponieważ tablica partycjonowania MFT nie jest uszkodzona ani częściowo uszkodzona, co oznacza, że ​​​​przywracając sektor rozruchowy MBR systemu, komputer uruchomi się i będzie działał.

Zatem zmodyfikowany trojan „Petya” działa w kilku etapach:

Po pierwsze: uzyskanie uprawnień uprzywilejowanych (uprawnień administratora). Na wielu komputerach w architekturze Windows (Active Directory) uprawnienia te są wyłączone. Wirus zapisuje oryginalny sektor rozruchowy systemu operacyjnego (MBR) w zaszyfrowanej formie bitowej operacji XOR (xor 0x7), a następnie zapisuje swój program ładujący w miejsce powyższego sektora; reszta kodu trojana jest zapisywana w pierwsze sektory dysku. Ten krok powoduje utworzenie pliku tekstowego dotyczącego szyfrowania, ale dane nie są jeszcze w rzeczywistości zaszyfrowane.

Dlaczego? Ponieważ to co opisano powyżej jest jedynie przygotowaniem do szyfrowania dysku i rozpocznie się ono dopiero po ponownym uruchomieniu systemu.

Po drugie: po ponownym uruchomieniu rozpoczyna się druga faza działania wirusa – szyfrowanie danych, przechodzi on teraz do swojego sektora konfiguracyjnego, w którym ustawiona jest flaga informująca, że ​​dane nie są jeszcze zaszyfrowane i wymagają szyfrowania. Następnie rozpoczyna się proces szyfrowania, który wygląda jak program Check Disk.

Proces szyfrowania został rozpoczęty, ale czynniki zewnętrzne (np. przerwa w dostawie prądu itp.) przerwały proces szyfrowania;
Proces szyfrowania tabeli MFT jeszcze się nie rozpoczął ze względu na czynniki niezależne od użytkownika (awaria wirusa, reakcja oprogramowania antywirusowego na działanie wirusa itp.).

Uruchom z dysku instalacyjnego systemu Windows;

Jeśli po uruchomieniu z dysku instalacyjnego systemu Windows widoczna jest tabela z partycjami dysku twardego, możesz rozpocząć proces odzyskiwania MBR;

Dla systemu Windows XP:

Po załadowaniu dysku instalacyjnego systemu Windows XP do pamięci RAM komputera pojawi się okno dialogowe „Zainstaluj system Windows XP Professional”, zawierające menu wyboru, w którym należy wybrać opcję „aby przywrócić system Windows XP za pomocą konsoli odzyskiwania, naciśnij klawisz R”. . Naciśnij klawisz „R”.

Załaduje się Konsola odzyskiwania.

Jeżeli na komputerze jest zainstalowany jeden system operacyjny i jest on (domyślnie) zainstalowany na dysku C, pojawi się następujący komunikat:

„1:C:\WINDOWS Do której kopii systemu Windows powinienem się zalogować?”

Wpisz klawisz „1”, naciśnij klawisz „Enter”.

Pojawi się komunikat: „Wprowadź hasło administratora”. Wpisz swoje hasło, naciśnij „Enter” (jeśli nie ma hasła, po prostu naciśnij „Enter”).

Powinien pojawić się monit systemowy: C:\WINDOWS> wpisz fixmbr

Pojawi się wówczas komunikat „OSTRZEŻENIE”.

„Czy potwierdzasz wprowadzenie nowego MBR?” Naciśnij klawisz „Y”.

Pojawi się komunikat: „Tworzy się nowy podstawowy sektor rozruchowy na dysku fizycznym \Device\Harddisk0\Partition0.”

„Nowy podstawowy sektor rozruchowy został pomyślnie utworzony.”

Dla systemu Windows Vista:

Pobierz system Windows Vista. Wybierz język i układ klawiatury. Na ekranie powitalnym kliknij „Przywróć komputer”. System Windows Vista dokona edycji menu komputera.

Wybierz swój system operacyjny i kliknij Dalej.

Gdy pojawi się okno Opcje odzyskiwania systemu, kliknij Wiersz poleceń.

Gdy pojawi się wiersz poleceń, wprowadź polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Dla systemu Windows 7:

Pobierz Windowsa 7.

Wybierz język.

Wybierz układ klawiatury.

Wybierz swój system operacyjny i kliknij Dalej. Wybierając system operacyjny, powinieneś zaznaczyć opcję „Użyj narzędzi do odzyskiwania, które pomogą rozwiązać problemy z uruchamianiem systemu Windows”.

Na ekranie Opcje odzyskiwania systemu kliknij przycisk Wiersz polecenia na ekranie Opcje odzyskiwania systemu Windows 7

Po pomyślnym uruchomieniu wiersza poleceń wprowadź polecenie:

bootrec/fixmbr

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 8

Pobierz Windowsa 8.

Na ekranie powitalnym kliknij przycisk Przywróć komputer

Windows 8 przywróci menu komputera

Wybierz Wiersz poleceń.

Po załadowaniu wiersza poleceń wprowadź następujące polecenia:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

Dla systemu Windows 10

Pobierz Windowsa 10.

Na ekranie powitalnym kliknij przycisk „Napraw komputer”.

Wybierz „Rozwiązywanie problemów”

Wybierz Wiersz poleceń.

Po załadowaniu wiersza poleceń wprowadź polecenie:

bootrec/FixMbr

Poczekaj na zakończenie operacji. Jeśli wszystko się powiedzie, na ekranie pojawi się komunikat potwierdzający.

Naciśnij klawisz Enter i uruchom ponownie komputer.

Po procedurze odzyskiwania MBR badacze zalecają przeskanowanie dysku programami antywirusowymi w poszukiwaniu zainfekowanych plików.

Specjaliści cyberpolicji zauważają, że działania te mają znaczenie również w przypadku, gdy proces szyfrowania został rozpoczęty, ale został przerwany przez użytkownika poprzez wyłączenie zasilania komputera na czas początkowego procesu szyfrowania. W takim przypadku po załadowaniu systemu operacyjnego możesz skorzystać z oprogramowania do odzyskiwania plików (np. RStudio), następnie skopiować je na nośnik zewnętrzny i ponownie zainstalować system.

Należy również zauważyć, że jeśli używasz programów do odzyskiwania danych, które rejestrują swój sektor rozruchowy (takich jak Acronis True Image), wirus nie dotyka tej partycji i możesz przywrócić stan roboczy systemu do daty punktu kontrolnego.

Cyberpolicja poinformowała, że ​​poza danymi rejestracyjnymi dostarczonymi przez użytkowników programu M.E.doc nie zostały przesłane żadne informacje.

Przypomnijmy, że 27 czerwca 2017 r. rozpoczął się zakrojony na szeroką skalę cyberatak wirusa szyfrującego Petya.A na systemy informatyczne ukraińskich firm i agencji rządowych.