Hur man återställer åtkomst till operativsystemet efter en attack av Petya-viruset: rekommendationer från Cyber ​​​​Police of Ukraine

Cyberpolisavdelningen vid den nationella polisen i Ukraina har publicerat rekommendationer för användare om hur man återställer åtkomst till datorer som har utsatts för en cyberattack av krypteringsviruset Petya.A.

I processen att studera Petya.A ransomware-viruset identifierade forskare flera alternativ för inverkan av skadlig programvara (när viruset körs med administratörsrättigheter):

Systemet är helt komprometterat. För att återställa data krävs en privat nyckel, och ett fönster visas på skärmen som ber dig att betala en lösen för att få nyckeln för att dekryptera data.

Datorer är infekterade och delvis krypterade. Systemet startade krypteringsprocessen, men externa faktorer (t.ex. strömavbrott, etc.) stoppade krypteringsprocessen.

Datorerna är infekterade, men processen med att kryptera MFT-tabellen har ännu inte börjat.

När det gäller det första alternativet finns det tyvärr för närvarande ingen metod som garanterat dekrypterar data. Specialister från Cyber ​​​​Police Department, SBU, DSSTZI, ukrainska och internationella IT-företag arbetar aktivt för att lösa detta problem.

Samtidigt finns det i de två sista fallen en chans att återställa informationen som finns på datorn, eftersom MFT-partitionstabellen inte är trasig eller delvis trasig, vilket innebär att genom att återställa systemets MBR-startsektor, datorn startar och fungerar.

Således fungerar det modifierade trojanska programmet "Petya" i flera steg:

Först: erhålla privilegierade rättigheter (administratörsrättigheter). På många datorer i Windows-arkitektur (Active Directory) är dessa rättigheter inaktiverade. Viruset sparar den ursprungliga startsektorn för operativsystemet (MBR) i en krypterad form av en bitvis XOR-operation (xor 0x7), och skriver sedan sin starthanterare i stället för ovanstående sektor; resten av den trojanska koden skrivs till första sektorerna på disken. Detta steg skapar en textfil om kryptering, men uppgifterna är faktiskt inte krypterade än.

Varför är det så? För det som beskrivs ovan är bara förberedelser för diskkryptering och det kommer att börja först efter att systemet har startat om.

För det andra: efter omstarten börjar den andra fasen av virusets operation - datakryptering, det vänder sig nu till sin konfigurationssektor, där flaggan är inställd att data ännu inte är krypterad och måste krypteras. Efter detta börjar krypteringsprocessen, som ser ut som programmet Check Disk.

Krypteringsprocessen startade, men externa faktorer (t.ex. strömavbrott, etc.) stoppade krypteringsprocessen;
Processen att kryptera MFT-tabellen har ännu inte börjat på grund av faktorer som inte berodde på användaren (ett fel på viruset, reaktionen från antivirusprogram på virusets handlingar, etc.).

Starta från Windows installationsskiva;

Om en tabell med hårddiskpartitioner är synlig efter uppstart från Windows installationsskiva kan du påbörja MBR-återställningsprocessen;

För Windows XP:

Efter att ha laddat installationsskivan för Windows XP i datorns RAM-minne visas dialogrutan "Installera Windows XP Professional", som innehåller en valmeny, du måste välja alternativet "för att återställa Windows XP med hjälp av återställningskonsolen, tryck på R." . Tryck på "R"-KNAPPEN.

Återställningskonsolen kommer att laddas.

Om datorn har ett operativsystem installerat och det är (som standard) installerat på C-enheten, kommer följande meddelande att visas:

"1:C:\WINDOWS Vilken kopia av Windows ska jag logga in på?"

Skriv "1"-tangenten, tryck på "Enter"-tangenten.

Ett meddelande visas: "Ange ditt administratörslösenord." Ange ditt lösenord, tryck på "Enter" (om det inte finns något lösenord, tryck bara på "Enter").

Systemprompten bör visas: C:\WINDOWS> ange fixmbr

Meddelandet "VARNING" visas då.

"Bekräftar du införandet av den nya MBR?" Tryck på "Y"-tangenten.

Ett meddelande kommer att visas: "En ny primär startsektor skapas på den fysiska disken \Device\Harddisk0\Partition0."

"Den nya primära startsektorn har skapats framgångsrikt."

För Windows Vista:

Ladda ner Windows Vista. Välj språk och tangentbordslayout. Klicka på "Återställ din dator" på välkomstskärmen. Windows Vista kommer att redigera datormenyn.

Välj ditt operativsystem och klicka på Nästa.

När fönstret Systemåterställningsalternativ visas klickar du på Kommandotolken.

När kommandotolken visas anger du kommandot:

bootrec/FixMbr

Vänta tills operationen är klar. Om allt lyckas visas ett bekräftelsemeddelande på skärmen.

För Windows 7:

Ladda ner Windows 7.

Välj språk.

Välj din tangentbordslayout.

Välj ditt operativsystem och klicka på Nästa. När du väljer ett operativsystem bör du markera "Använd återställningsverktyg som kan hjälpa till att lösa problem med att starta Windows."

På skärmen Systemåterställningsalternativ klickar du på kommandotolken på skärmen Windows 7 Systemåterställningsalternativ

När kommandotolken startar framgångsrikt anger du kommandot:

bootrec/fixmbr

Tryck på Enter och starta om datorn.

För Windows 8

Ladda ner Windows 8.

På välkomstskärmen klickar du på knappen Återställ din dator

Windows 8 kommer att återställa datormenyn

Välj Kommandotolk.

När kommandotolken laddas anger du följande kommandon:

bootrec/FixMbr

Vänta tills operationen är klar. Om allt lyckas visas ett bekräftelsemeddelande på skärmen.

Tryck på Enter och starta om datorn.

För Windows 10

Ladda ner Windows 10.

På välkomstskärmen klickar du på knappen "Reparera din dator".

Välj "Felsökning"

Välj Kommandotolk.

När kommandotolken laddas anger du kommandot:

bootrec/FixMbr

Vänta tills operationen är klar. Om allt lyckas visas ett bekräftelsemeddelande på skärmen.

Tryck på Enter och starta om datorn.

Efter MBR-återställningsproceduren rekommenderar forskare att du skannar disken med antivirusprogram efter infekterade filer.

Cyberpolisens specialister noterar att dessa åtgärder också är relevanta om krypteringsprocessen startades men avbröts av användaren genom att stänga av datorns ström under den inledande krypteringsprocessen. I det här fallet, efter att ha laddat operativsystemet, kan du använda filåterställningsprogramvara (som RStudio), sedan kopiera dem till externa media och installera om systemet.

Det noteras också att om du använder dataåterställningsprogram som registrerar deras uppstartssektor (som Acronis True Image), kommer viruset inte att vidröra denna partition och du kan återställa systemets arbetsläge till kontrollpunktsdatumet.

Cyberpolisen rapporterade att förutom registreringsdata som tillhandahållits av användare av M.E.doc-programmet, har ingen information överförts.

Låt oss komma ihåg att den 27 juni 2017 började en storskalig cyberattack av Petya.A-krypteringsviruset på ukrainska företags och statliga myndigheters IT-system.