Como restaurar o acesso ao sistema operacional após um ataque do vírus Petya: recomendações da Polícia Cibernética da Ucrânia

O Departamento de Polícia Cibernética da Polícia Nacional da Ucrânia publicou recomendações para usuários sobre como restaurar o acesso a computadores que foram sujeitos a um ataque cibernético do vírus de criptografia Petya.A.

No processo de estudo do vírus ransomware Petya.A, os pesquisadores identificaram várias opções para o impacto do malware (ao executar o vírus com direitos de administrador):

O sistema está completamente comprometido. Para recuperar os dados, é necessária uma chave privada e uma janela aparece na tela solicitando que você pague um resgate para obter a chave para descriptografar os dados.

Os computadores estão infectados e parcialmente criptografados. O sistema iniciou o processo de criptografia, mas fatores externos (por exemplo: queda de energia, etc.) interromperam o processo de criptografia.

Os computadores estão infectados, mas o processo de criptografia da tabela MFT ainda não começou.

Quanto à primeira opção, infelizmente, atualmente não existe nenhum método que garanta a descriptografia de dados. Especialistas do Departamento de Polícia Cibernética, SBU, DSSTZI, empresas de TI ucranianas e internacionais estão trabalhando ativamente para resolver esse problema.

Ao mesmo tempo, nos dois últimos casos existe a possibilidade de restaurar as informações que estão no computador, uma vez que a tabela de particionamento MFT não está quebrada ou parcialmente quebrada, o que significa que ao restaurar o setor de boot MBR do sistema, o o computador irá iniciar e funcionar.

Assim, o programa Trojan modificado “Petya” funciona em vários estágios:

Primeiro: obter direitos privilegiados (direitos de administrador). Em muitos computadores na arquitetura Windows (Active Directory), esses direitos estão desabilitados. O vírus salva o setor de inicialização original do sistema operacional (MBR) em uma forma criptografada de uma operação XOR bit a bit (xor 0x7) e, em seguida, grava seu carregador de inicialização no lugar do setor acima; o restante do código do Trojan é gravado no primeiros setores do disco. Esta etapa cria um arquivo de texto sobre criptografia, mas os dados ainda não estão criptografados.

Por que é que? Porque o que está descrito acima é apenas uma preparação para a criptografia do disco e só começará após a reinicialização do sistema.

Segundo: após a reinicialização, inicia-se a segunda fase de operação do vírus - criptografia de dados, ele agora se volta para seu setor de configuração, no qual é definido o sinalizador de que os dados ainda não estão criptografados e precisam ser criptografados. Depois disso, começa o processo de criptografia, que se parece com o programa Check Disk.

O processo de criptografia foi iniciado, mas fatores externos (ex: queda de energia, etc.) interromperam o processo de criptografia;
O processo de criptografia da tabela MFT ainda não foi iniciado devido a fatores que não dependiam do usuário (mau funcionamento do vírus, reação do software antivírus às ações do vírus, etc.).

Inicialize a partir do disco de instalação do Windows;

Se, após inicializar a partir do disco de instalação do Windows, uma tabela com partições do disco rígido estiver visível, você poderá iniciar o processo de recuperação do MBR;

Para Windows XP:

Após carregar o disco de instalação do Windows XP na RAM do PC, aparecerá a caixa de diálogo “Instalar o Windows XP Professional”, contendo um menu de seleção, você deve selecionar o item “para restaurar o Windows XP usando o console de recuperação, pressione R”. . Pressione a tecla "R".

O Console de recuperação será carregado.

Se o PC tiver um sistema operacional instalado e estiver (por padrão) instalado na unidade C, a seguinte mensagem aparecerá:

"1:C:\WINDOWS Em qual cópia do Windows devo entrar?"

Digite a tecla “1”, pressione a tecla “Enter”.

Uma mensagem aparecerá: “Digite sua senha de administrador”. Digite sua senha, pressione “Enter” (se não houver senha, basta pressionar “Enter”).

O prompt do sistema deve aparecer: C:\WINDOWS> digite fixmbr

A mensagem “AVISO” aparecerá então.

“Você está confirmando a entrada do novo MBR?” Pressione a tecla “Y”.

Uma mensagem aparecerá: “Um novo setor de inicialização primário está sendo criado no disco físico \Device\Harddisk0\Partition0.”

"O novo setor de inicialização primário foi criado com sucesso."

Para Windows Vista:

Baixe o Windows Vista. Selecione seu idioma e layout de teclado. Na tela de boas-vindas, clique em “Restaurar seu computador”. O Windows Vista editará o menu do computador.

Selecione seu sistema operacional e clique em Avançar.

Quando a janela Opções de recuperação do sistema aparecer, clique em Prompt de comando.

Quando o prompt de comando aparecer, digite o comando:

bootrec/FixMbr

Aguarde a conclusão da operação. Se tudo der certo, uma mensagem de confirmação aparecerá na tela.

Para Windows 7:

Baixe o Windows 7.

Escolha o seu idioma.

Selecione o layout do seu teclado.

Selecione seu sistema operacional e clique em Avançar. Ao escolher um sistema operacional, você deve marcar "Usar ferramentas de recuperação que podem ajudar a resolver problemas ao iniciar o Windows".

Na tela Opções de recuperação do sistema, clique no botão Prompt de comando na tela Opções de recuperação do sistema do Windows 7

Quando o prompt de comando for inicializado com sucesso, digite o comando:

bootrec/fixmbr

Pressione a tecla Enter e reinicie o computador.

Para Windows 8

Baixe o Windows 8.

Na tela de boas-vindas, clique no botão Restaurar seu computador

O Windows 8 irá restaurar o menu do computador

Selecione Prompt de Comando.

Quando o prompt de comando for carregado, digite os seguintes comandos:

bootrec/FixMbr

Aguarde a conclusão da operação. Se tudo der certo, uma mensagem de confirmação aparecerá na tela.

Pressione a tecla Enter e reinicie o computador.

Para Windows 10

Baixe o Windows 10.

Na tela de boas-vindas, clique no botão "Reparar seu computador"

Selecione "Solução de problemas"

Selecione Prompt de Comando.

Quando o prompt de comando for carregado, digite o comando:

bootrec/FixMbr

Aguarde a conclusão da operação. Se tudo der certo, uma mensagem de confirmação aparecerá na tela.

Pressione a tecla Enter e reinicie o computador.

Após o procedimento de recuperação do MBR, os pesquisadores recomendam verificar o disco com programas antivírus em busca de arquivos infectados.

Os especialistas da polícia cibernética observam que essas ações também são relevantes se o processo de criptografia foi iniciado, mas interrompido pelo usuário ao desligar o computador durante o processo inicial de criptografia. Neste caso, após carregar o sistema operacional, você pode usar um software de recuperação de arquivos (como RStudio), copiá-los para uma mídia externa e reinstalar o sistema.

Observa-se também que se você usar programas de recuperação de dados que registram seu setor de inicialização (como o Acronis True Image), o vírus não toca nesta partição e você pode retornar o estado de funcionamento do sistema à data do ponto de verificação.

A polícia cibernética informou que, além dos dados cadastrais fornecidos pelos usuários do programa M.E.doc, nenhuma informação foi transmitida.

Lembremos que em 27 de junho de 2017, um ataque cibernético em grande escala do vírus de criptografia Petya.A começou nos sistemas de TI de empresas e agências governamentais ucranianas.