Cum să restabiliți accesul la sistemul de operare după un atac al virusului Petya: recomandări de la Poliția cibernetică a Ucrainei

Departamentul de poliție cibernetică al Poliției Naționale a Ucrainei a publicat recomandări pentru utilizatori cu privire la modul de restabilire a accesului la computerele care au fost supuse unui atac cibernetic de către virusul de criptare Petya.A.

În procesul de studiu a virusului ransomware Petya.A, cercetătorii au identificat mai multe opțiuni pentru impactul malware-ului (când rulează virusul cu drepturi de administrator):

Sistemul este complet compromis. Pentru a recupera datele, este necesară o cheie privată, iar pe ecran apare o fereastră care vă cere să plătiți o răscumpărare pentru a obține cheia pentru a decripta datele.

Calculatoarele sunt infectate și parțial criptate. Sistemul a început procesul de criptare, dar factorii externi (de exemplu: întrerupere de curent etc.) au oprit procesul de criptare.

Calculatoarele sunt infectate, dar procesul de criptare a tabelului MFT nu a început încă.

În ceea ce privește prima opțiune, din păcate, în prezent nu există nicio metodă care să fie garantată pentru a decripta datele. Specialiștii Departamentului de Poliție Cibernetică, SBU, DSSTZI, companii IT ucrainene și internaționale lucrează activ pentru a rezolva această problemă.

În același timp, în ultimele două cazuri există șansa de a restabili informațiile care se află pe computer, deoarece tabela de partiționare MFT nu este ruptă sau parțial ruptă, ceea ce înseamnă că prin restaurarea sectorului de boot MBR al sistemului, computerul va porni și va funcționa.

Astfel, programul troian modificat „Petya” funcționează în mai multe etape:

În primul rând: obținerea de drepturi privilegiate (drepturi de administrator). Pe multe computere cu arhitectură Windows (Active Directory), aceste drepturi sunt dezactivate. Virusul salvează sectorul de pornire original pentru sistemul de operare (MBR) într-o formă criptată a unei operații XOR pe biți (xor 0x7), apoi își scrie bootloader-ul în locul sectorului de mai sus; restul codului troian este scris în primele sectoare ale discului. Acest pas creează un fișier text despre criptare, dar datele nu sunt încă criptate.

De ce este asta? Deoarece ceea ce este descris mai sus este doar pregătirea pentru criptarea discului și va începe numai după ce sistemul este repornit.

În al doilea rând: după repornire, începe cea de-a doua fază a funcționării virusului - criptarea datelor, acum se întoarce la sectorul său de configurare, în care este setat semnalul că datele nu sunt încă criptate și trebuie să fie criptate. După aceasta, începe procesul de criptare, care arată ca programul Check Disk.

Procesul de criptare a fost pornit, dar factorii externi (de exemplu: întrerupere de curent etc.) au oprit procesul de criptare;
Procesul de criptare a tabelului MFT nu a început încă din cauza unor factori care nu depind de utilizator (o defecțiune a virusului, reacția software-ului antivirus la acțiunile virusului etc.).

Porniți de pe discul de instalare Windows;

Dacă, după pornirea de pe discul de instalare Windows, este vizibil un tabel cu partiții de hard disk, atunci puteți începe procesul de recuperare a MBR;

Pentru Windows XP:

După încărcarea discului de instalare Windows XP în memoria RAM a PC-ului, va apărea caseta de dialog „Instalați Windows XP Professional”, care conține un meniu de selecție, trebuie să selectați elementul „pentru a restaura Windows XP folosind consola de recuperare, apăsați R”. . Apăsați TASTA „R”.

Consola de recuperare se va încărca.

Dacă computerul are un sistem de operare instalat și acesta este (în mod implicit) instalat pe unitatea C, va apărea următorul mesaj:

„1:C:\WINDOWS La ce copie de Windows ar trebui să mă conectez?”

Tastați tasta „1”, apăsați tasta „Enter”.

Va apărea un mesaj: „Introduceți parola de administrator”. Introduceți parola, apăsați „Enter” (dacă nu există parolă, apăsați „Enter”).

Ar trebui să apară promptul de sistem: C:\WINDOWS> introduceți fixmbr

Va apărea apoi mesajul „AVERTISMENT”.

„Confirmați intrarea noului MBR?” Apăsați tasta „Y”.

Va apărea un mesaj: „Se creează un nou sector de boot primar pe discul fizic \Device\Harddisk0\Partition0”.

„Noul sector de boot primar a fost creat cu succes.”

Pentru Windows Vista:

Descărcați Windows Vista. Selectați limba și aspectul tastaturii. Pe ecranul de bun venit, faceți clic pe „Restaurați computerul”. Windows Vista va edita meniul computerului.

Selectați sistemul dvs. de operare și faceți clic pe Următorul.

Când apare fereastra Opțiuni de recuperare a sistemului, faceți clic pe Command Prompt.

Când apare promptul de comandă, introduceți comanda:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Pentru Windows 7:

Descărcați Windows 7.

Alege limba.

Selectați aspectul tastaturii.

Selectați sistemul dvs. de operare și faceți clic pe Următorul. Când alegeți un sistem de operare, ar trebui să bifați „Utilizați instrumente de recuperare care vă pot ajuta să rezolvați problemele la pornirea Windows”.

Pe ecranul Opțiuni de recuperare a sistemului, faceți clic pe butonul Prompt de comandă din ecranul Opțiuni de recuperare a sistemului Windows 7

Când promptul de comandă pornește cu succes, introduceți comanda:

bootrec/fixmbr

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 8

Descărcați Windows 8.

Pe ecranul de bun venit, faceți clic pe butonul Restaurați computerul

Windows 8 va restabili meniul computerului

Selectați Command Prompt.

Când se încarcă promptul de comandă, introduceți următoarele comenzi:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 10

Descărcați Windows 10.

Pe ecranul de bun venit, faceți clic pe butonul „Reparați computerul”.

Selectați „Depanare”

Selectați Command Prompt.

Când se încarcă promptul de comandă, introduceți comanda:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

După procedura de recuperare a MBR, cercetătorii recomandă scanarea discului cu programe antivirus pentru fișiere infectate.

Specialiștii din poliția cibernetică notează că aceste acțiuni sunt relevante și dacă procesul de criptare a fost pornit, dar întrerupt de utilizator prin oprirea alimentării computerului în timpul procesului inițial de criptare. În acest caz, după încărcarea sistemului de operare, puteți utiliza software-ul de recuperare a fișierelor (cum ar fi RStudio), apoi le copiați pe un suport extern și reinstalați sistemul.

De asemenea, se remarcă faptul că, dacă utilizați programe de recuperare a datelor care înregistrează sectorul lor de pornire (cum ar fi Acronis True Image), virusul nu atinge această partiție și puteți readuce starea de funcționare a sistemului la data punctului de control.

Poliția cibernetică a raportat că, în afară de datele de înregistrare furnizate de utilizatorii programului M.E.doc, nu au fost transmise informații.

Să ne amintim că la 27 iunie 2017, un atac cibernetic pe scară largă al virusului Petya.A a început asupra sistemelor IT ale companiilor și agențiilor guvernamentale ucrainene.