Ako obnoviť prístup k operačnému systému po útoku vírusu Petya: odporúčania kybernetickej polície Ukrajiny

Cyber ​​​​Policajné oddelenie Národnej polície Ukrajiny zverejnilo odporúčania pre používateľov, ako obnoviť prístup k počítačom, ktoré boli vystavené kybernetickému útoku šifrovacieho vírusu Petya.A.

V procese štúdia ransomvérového vírusu Petya.A výskumníci identifikovali niekoľko možností vplyvu malvéru (pri spustení vírusu s právami správcu):

Systém je úplne ohrozený. Na obnovenie údajov je potrebný súkromný kľúč a na obrazovke sa zobrazí okno s výzvou na zaplatenie výkupného za získanie kľúča na dešifrovanie údajov.

Počítače sú infikované a čiastočne zašifrované. Systém spustil proces šifrovania, ale vonkajšie faktory (napr.: výpadok prúdu atď.) proces šifrovania zastavili.

Počítače sú infikované, ale proces šifrovania tabuľky MFT sa ešte nezačal.

Pokiaľ ide o prvú možnosť, žiaľ, v súčasnosti neexistuje metóda, ktorá by zaručila dešifrovanie údajov. Špecialisti z oddelenia kybernetickej polície, SBU, DSSTZI, ukrajinských a medzinárodných IT spoločností aktívne pracujú na vyriešení tohto problému.

Zároveň v posledných dvoch prípadoch existuje šanca obnoviť informácie, ktoré sú v počítači, pretože tabuľka rozdelenia MFT nie je porušená alebo čiastočne porušená, čo znamená, že obnovením zavádzacieho sektora MBR systému sa počítač sa spustí a bude fungovať.

Upravený trójsky program „Petya“ teda funguje v niekoľkých fázach:

Po prvé: získanie privilegovaných práv (práva správcu). Na mnohých počítačoch s architektúrou Windows (Active Directory) sú tieto práva zakázané. Vírus uloží pôvodný zavádzací sektor operačného systému (MBR) v zašifrovanej forme bitovej operácie XOR (xor 0x7) a potom zapíše svoj bootloader na miesto vyššie uvedeného sektora; zvyšok kódu trójskeho koňa sa zapíše do prvé sektory disku. Tento krok vytvorí textový súbor o šifrovaní, ale údaje v skutočnosti ešte nie sú zašifrované.

prečo je to tak? Pretože to, čo je popísané vyššie, je len príprava na šifrovanie disku a začne až po reštarte systému.

Po druhé: po reštarte sa začne druhá fáza fungovania vírusu - šifrovanie údajov, teraz sa prepne do svojho konfiguračného sektora, v ktorom je nastavený príznak, že údaje ešte nie sú šifrované a je potrebné ich zašifrovať. Potom začne proces šifrovania, ktorý vyzerá ako program Check Disk.

Proces šifrovania bol spustený, ale vonkajšie faktory (napr.: výpadok napájania atď.) proces šifrovania zastavili;
Proces šifrovania tabuľky MFT sa ešte nezačal v dôsledku faktorov, ktoré nezáviseli od používateľa (porucha vírusu, reakcia antivírusového softvéru na pôsobenie vírusu atď.).

Spustite systém z inštalačného disku systému Windows;

Ak je po zavedení z inštalačného disku systému Windows viditeľná tabuľka s oddielmi pevného disku, môžete začať proces obnovy MBR;

Pre Windows XP:

Po načítaní inštalačného disku systému Windows XP do pamäte RAM počítača sa zobrazí dialógové okno „Inštalovať systém Windows XP Professional“, ktoré obsahuje ponuku výberu, musíte vybrať položku „ak chcete obnoviť systém Windows XP pomocou konzoly na obnovenie, stlačte kláves R“. . Stlačte tlačidlo "R".

Načíta sa konzola na obnovenie.

Ak má počítač nainštalovaný jeden operačný systém a ten je (štandardne) nainštalovaný na jednotke C, zobrazí sa nasledujúce hlásenie:

"1:C:\WINDOWS Do ktorej kópie systému Windows sa mám prihlásiť?"

Zadajte kláves „1“ a stlačte kláves „Enter“.

Zobrazí sa správa: „Zadajte heslo správcu“. Zadajte svoje heslo, stlačte "Enter" (ak heslo neexistuje, stlačte "Enter").

Mala by sa zobraziť systémová výzva: C:\WINDOWS> zadajte fixmbr

Potom sa zobrazí správa „VAROVANIE“.

"Potvrdzujete zadanie nového MBR?" Stlačte kláves "Y".

Zobrazí sa správa: „Na fyzickom disku \Device\Harddisk0\Partition0 sa vytvára nový primárny zavádzací sektor.

"Nový primárny zavádzací sektor bol úspešne vytvorený."

Pre systém Windows Vista:

Stiahnite si Windows Vista. Vyberte jazyk a rozloženie klávesnice. Na uvítacej obrazovke kliknite na „Obnoviť počítač“. Windows Vista upraví ponuku počítača.

Vyberte svoj operačný systém a kliknite na tlačidlo Ďalej.

Keď sa zobrazí okno Možnosti obnovenia systému, kliknite na Príkazový riadok.

Keď sa zobrazí príkazový riadok, zadajte príkaz:

bootrec/FixMbr

Počkajte na dokončenie operácie. Ak je všetko úspešné, na obrazovke sa zobrazí potvrdzujúca správa.

Pre Windows 7:

Stiahnite si Windows 7.

Vyberte jazyk.

Vyberte rozloženie klávesnice.

Vyberte svoj operačný systém a kliknite na tlačidlo Ďalej. Pri výbere operačného systému by ste mali začiarknuť políčko „Použiť nástroje na obnovenie, ktoré môžu pomôcť vyriešiť problémy so spustením systému Windows“.

Na obrazovke Možnosti obnovenia systému kliknite na tlačidlo Príkazový riadok na obrazovke Možnosti obnovenia systému Windows 7

Keď sa príkazový riadok úspešne spustí, zadajte príkaz:

bootrec/fixmbr

Stlačte kláves Enter a reštartujte počítač.

Pre Windows 8

Stiahnite si Windows 8.

Na uvítacej obrazovke kliknite na tlačidlo Obnoviť počítač

Windows 8 obnoví ponuku počítača

Vyberte príkazový riadok.

Keď sa načíta príkazový riadok, zadajte nasledujúce príkazy:

bootrec/FixMbr

Počkajte na dokončenie operácie. Ak je všetko úspešné, na obrazovke sa zobrazí potvrdzujúca správa.

Stlačte kláves Enter a reštartujte počítač.

Pre Windows 10

Stiahnite si Windows 10.

Na uvítacej obrazovke kliknite na tlačidlo „Opraviť počítač“.

Vyberte "Riešenie problémov"

Vyberte príkazový riadok.

Keď sa načíta príkazový riadok, zadajte príkaz:

bootrec/FixMbr

Počkajte na dokončenie operácie. Ak je všetko úspešné, na obrazovke sa zobrazí potvrdzujúca správa.

Stlačte kláves Enter a reštartujte počítač.

Po procedúre obnovenia MBR výskumníci odporúčajú skenovať disk antivírusovými programami, či neobsahujú infikované súbory.

Špecialisti kybernetickej polície poznamenávajú, že tieto akcie sú relevantné aj vtedy, ak bol proces šifrovania spustený, ale používateľ ho prerušil vypnutím napájania počítača počas počiatočného procesu šifrovania. V tomto prípade po načítaní operačného systému môžete použiť softvér na obnovu súborov (napríklad RStudio), potom ich skopírovať na externé médium a preinštalovať systém.

Je tiež potrebné poznamenať, že ak používate programy na obnovu dát, ktoré zaznamenávajú ich zavádzací sektor (ako Acronis True Image), vírus sa nedotkne tejto oblasti a môžete vrátiť pracovný stav systému k dátumu kontrolného bodu.

Kybernetická polícia informovala, že okrem registračných údajov poskytnutých používateľmi programu M.E.doc neboli odoslané žiadne informácie.

Pripomeňme, že 27. júna 2017 sa začal rozsiahly kybernetický útok šifrovacieho vírusu Petya.A na IT systémy ukrajinských firiem a vládnych agentúr.