பெட்டியா வைரஸின் தாக்குதலுக்குப் பிறகு இயக்க முறைமைக்கான அணுகலை எவ்வாறு மீட்டெடுப்பது: உக்ரைனின் சைபர் காவல்துறையின் பரிந்துரைகள்

Petya.A என்க்ரிப்ஷன் வைரஸால் சைபர் தாக்குதலுக்கு உள்ளான கணினிகளுக்கான அணுகலை எவ்வாறு மீட்டெடுப்பது என்பது குறித்த பயனர்களுக்கான பரிந்துரைகளை உக்ரைனின் தேசிய காவல்துறையின் சைபர் காவல் துறை வெளியிட்டுள்ளது.

Petya.A ransomware வைரஸைப் படிக்கும் செயல்பாட்டில், தீம்பொருளின் தாக்கத்திற்கான பல விருப்பங்களை ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர் (நிர்வாகி உரிமைகளுடன் வைரஸை இயக்கும் போது):

அமைப்பு முற்றிலும் சமரசம் செய்யப்பட்டுள்ளது. தரவை மீட்டெடுக்க, ஒரு தனிப்பட்ட விசை தேவை, மேலும் தரவை மறைகுறியாக்க விசையைப் பெற மீட்கும் தொகையைச் செலுத்துமாறு திரையில் ஒரு சாளரம் தோன்றும்.

கணினிகள் பாதிக்கப்பட்டு ஓரளவு குறியாக்கம் செய்யப்பட்டுள்ளன. கணினி குறியாக்க செயல்முறையைத் தொடங்கியது, ஆனால் வெளிப்புற காரணிகள் (எ.கா: மின் தடை போன்றவை) குறியாக்க செயல்முறையை நிறுத்தியது.

கணினிகள் பாதிக்கப்பட்டுள்ளன, ஆனால் MFT அட்டவணையை குறியாக்கம் செய்யும் செயல்முறை இன்னும் தொடங்கவில்லை.

முதல் விருப்பத்தைப் பொறுத்தவரை, துரதிர்ஷ்டவசமாக, தரவை மறைகுறியாக்க உத்தரவாதம் அளிக்கும் எந்த முறையும் தற்போது இல்லை. சைபர் போலீஸ் துறை, SBU, DSSTZI, உக்ரேனிய மற்றும் சர்வதேச தகவல் தொழில்நுட்ப நிறுவனங்களின் வல்லுநர்கள் இந்த சிக்கலை தீர்க்க தீவிரமாக பணியாற்றி வருகின்றனர்.

அதே நேரத்தில், கடைசி இரண்டு நிகழ்வுகளில், கணினியில் உள்ள தகவலை மீட்டமைக்க ஒரு வாய்ப்பு உள்ளது, ஏனெனில் MFT பகிர்வு அட்டவணை உடைக்கப்படவில்லை அல்லது ஓரளவு உடைக்கப்படவில்லை, அதாவது கணினியின் MBR துவக்கத் துறையை மீட்டெடுப்பதன் மூலம், கணினி துவங்கி வேலை செய்யும்.

இவ்வாறு, மாற்றியமைக்கப்பட்ட ட்ரோஜன் நிரல் "பெட்யா" பல நிலைகளில் செயல்படுகிறது:

முதல்: சலுகை பெற்ற உரிமைகள் (நிர்வாகி உரிமைகள்) பெறுதல். விண்டோஸ் கட்டமைப்பில் (ஆக்டிவ் டைரக்டரி) உள்ள பல கணினிகளில், இந்த உரிமைகள் முடக்கப்பட்டுள்ளன. பிட்வைஸ் XOR செயல்பாட்டின் (xor 0x7) மறைகுறியாக்கப்பட்ட வடிவத்தில் இயக்க முறைமைக்கான (MBR) அசல் துவக்கத் துறையை வைரஸ் சேமிக்கிறது, பின்னர் மேலே உள்ள துறைக்கு பதிலாக அதன் துவக்க ஏற்றியை எழுதுகிறது; மீதமுள்ள ட்ரோஜன் குறியீடு எழுதப்பட்டுள்ளது வட்டின் முதல் பிரிவுகள். இந்த படி குறியாக்கம் பற்றிய உரை கோப்பை உருவாக்குகிறது, ஆனால் தரவு இன்னும் குறியாக்கம் செய்யப்படவில்லை.

அது ஏன்? ஏனெனில் மேலே விவரிக்கப்பட்டவை வட்டு குறியாக்கத்திற்கான தயாரிப்பு மட்டுமே மற்றும் கணினி மறுதொடக்கம் செய்யப்பட்ட பின்னரே அது தொடங்கும்.

இரண்டாவது: மறுதொடக்கத்திற்குப் பிறகு, வைரஸின் செயல்பாட்டின் இரண்டாம் கட்டம் தொடங்குகிறது - தரவு குறியாக்கம், அது இப்போது அதன் உள்ளமைவுத் துறைக்கு மாறுகிறது, இதில் தரவு இன்னும் குறியாக்கம் செய்யப்படவில்லை மற்றும் குறியாக்கம் செய்யப்பட வேண்டும் என்று கொடி அமைக்கப்பட்டுள்ளது. இதற்குப் பிறகு, குறியாக்க செயல்முறை தொடங்குகிறது, இது காசோலை வட்டு நிரலைப் போல் தெரிகிறது.

குறியாக்க செயல்முறை தொடங்கப்பட்டது, ஆனால் வெளிப்புற காரணிகள் (எ.கா: மின் தடை போன்றவை) குறியாக்க செயல்முறையை நிறுத்தியது;
பயனரைச் சார்ந்து இல்லாத காரணிகளால் MFT அட்டவணையை குறியாக்கம் செய்யும் செயல்முறை இன்னும் தொடங்கவில்லை (வைரஸின் செயலிழப்பு, வைரஸின் செயல்களுக்கு வைரஸ் எதிர்ப்பு மென்பொருளின் எதிர்வினை போன்றவை).

விண்டோஸ் நிறுவல் வட்டில் இருந்து துவக்கவும்;

விண்டோஸ் நிறுவல் வட்டில் இருந்து துவக்கிய பிறகு, ஹார்ட் டிஸ்க் பகிர்வுகளுடன் ஒரு அட்டவணை தெரிந்தால், நீங்கள் MBR மீட்பு செயல்முறையைத் தொடங்கலாம்;

விண்டோஸ் எக்ஸ்பிக்கு:

கணினியின் RAM இல் Windows XP நிறுவல் வட்டை ஏற்றிய பிறகு, "Windows XP Professional ஐ நிறுவு" உரையாடல் பெட்டி தோன்றும், அதில் ஒரு தேர்வு மெனு இருக்கும், "மீட்பு கன்சோலைப் பயன்படுத்தி Windows XP ஐ மீட்டெடுக்க, R ஐ அழுத்தவும்" என்ற உருப்படியைத் தேர்ந்தெடுக்க வேண்டும். . "R" விசையை அழுத்தவும்.

Recovery Console ஏற்றப்படும்.

கணினியில் ஒரு OS நிறுவப்பட்டு அது (இயல்புநிலையாக) C டிரைவில் நிறுவப்பட்டிருந்தால், பின்வரும் செய்தி தோன்றும்:

"1:C:\WINDOWS எந்த விண்டோஸின் நகலில் நான் உள்நுழைய வேண்டும்?"

"1" விசையைத் தட்டச்சு செய்து, "Enter" விசையை அழுத்தவும்.

ஒரு செய்தி தோன்றும்: "உங்கள் நிர்வாகி கடவுச்சொல்லை உள்ளிடவும்." உங்கள் கடவுச்சொல்லை உள்ளிட்டு, "Enter" ஐ அழுத்தவும் (கடவுச்சொல் இல்லை என்றால், "Enter" ஐ அழுத்தவும்).

கணினி வரியில் தோன்றும்: C:\WINDOWS> fixmbr ஐ உள்ளிடவும்

பின்னர் "எச்சரிக்கை" என்ற செய்தி தோன்றும்.

"புதிய MBR இன் நுழைவை உறுதிப்படுத்துகிறீர்களா?" "Y" விசையை அழுத்தவும்.

ஒரு செய்தி தோன்றும்: "இயற்பியல் வட்டு \Device\Harddisk0\Partition0 இல் ஒரு புதிய முதன்மை துவக்க பிரிவு உருவாக்கப்படுகிறது."

"புதிய முதன்மை துவக்கப் பிரிவு வெற்றிகரமாக உருவாக்கப்பட்டது."

விண்டோஸ் விஸ்டாவிற்கு:

விண்டோஸ் விஸ்டாவைப் பதிவிறக்கவும். உங்கள் மொழி மற்றும் விசைப்பலகை அமைப்பைத் தேர்ந்தெடுக்கவும். வரவேற்புத் திரையில், "உங்கள் கணினியை மீட்டமை" என்பதைக் கிளிக் செய்யவும். விண்டோஸ் விஸ்டா கணினி மெனுவைத் திருத்தும்.

உங்கள் இயக்க முறைமையைத் தேர்ந்தெடுத்து அடுத்து என்பதைக் கிளிக் செய்யவும்.

கணினி மீட்பு விருப்பங்கள் சாளரம் தோன்றும் போது, ​​கட்டளை வரியில் கிளிக் செய்யவும்.

கட்டளை வரியில் தோன்றும்போது, ​​கட்டளையை உள்ளிடவும்:

bootrec/FixMbr

அறுவை சிகிச்சை முடிவடையும் வரை காத்திருங்கள். எல்லாம் வெற்றிகரமாக இருந்தால், உறுதிப்படுத்தல் செய்தி திரையில் தோன்றும்.

விண்டோஸ் 7க்கு:

விண்டோஸ் 7 ஐப் பதிவிறக்கவும்.

மொழியை தேர்வு செய்யவும்.

உங்கள் விசைப்பலகை அமைப்பைத் தேர்ந்தெடுக்கவும்.

உங்கள் இயக்க முறைமையைத் தேர்ந்தெடுத்து அடுத்து என்பதைக் கிளிக் செய்யவும். இயக்க முறைமையைத் தேர்ந்தெடுக்கும்போது, ​​"விண்டோஸ் தொடங்கும் சிக்கல்களைத் தீர்க்க உதவும் மீட்புக் கருவிகளைப் பயன்படுத்தவும்" என்பதை நீங்கள் சரிபார்க்க வேண்டும்.

கணினி மீட்பு விருப்பங்கள் திரையில், விண்டோஸ் 7 கணினி மீட்பு விருப்பங்கள் திரையில் கட்டளை வரியில் பொத்தானை கிளிக் செய்யவும்

கட்டளை வரியில் வெற்றிகரமாக துவங்கும் போது, ​​கட்டளையை உள்ளிடவும்:

bootrec/fixmbr

Enter விசையை அழுத்தி உங்கள் கணினியை மறுதொடக்கம் செய்யுங்கள்.

விண்டோஸ் 8க்கு

விண்டோஸ் 8 ஐப் பதிவிறக்கவும்.

வரவேற்புத் திரையில், உங்கள் கணினியை மீட்டமை பொத்தானைக் கிளிக் செய்யவும்

விண்டோஸ் 8 கணினி மெனுவை மீட்டமைக்கும்

கட்டளை வரியில் தேர்ந்தெடுக்கவும்.

கட்டளை வரியில் ஏற்றப்படும் போது, ​​பின்வரும் கட்டளைகளை உள்ளிடவும்:

bootrec/FixMbr

அறுவை சிகிச்சை முடிவடையும் வரை காத்திருங்கள். எல்லாம் வெற்றிகரமாக இருந்தால், உறுதிப்படுத்தல் செய்தி திரையில் தோன்றும்.

Enter விசையை அழுத்தி உங்கள் கணினியை மறுதொடக்கம் செய்யுங்கள்.

விண்டோஸ் 10க்கு

விண்டோஸ் 10 ஐப் பதிவிறக்கவும்.

வரவேற்புத் திரையில், "உங்கள் கணினியைப் பழுதுபார்" பொத்தானைக் கிளிக் செய்யவும்

"சரிசெய்தல்" என்பதைத் தேர்ந்தெடுக்கவும்

கட்டளை வரியில் தேர்ந்தெடுக்கவும்.

கட்டளை வரியில் ஏற்றப்படும் போது, ​​கட்டளையை உள்ளிடவும்:

bootrec/FixMbr

அறுவை சிகிச்சை முடிவடையும் வரை காத்திருங்கள். எல்லாம் வெற்றிகரமாக இருந்தால், உறுதிப்படுத்தல் செய்தி திரையில் தோன்றும்.

Enter விசையை அழுத்தி உங்கள் கணினியை மறுதொடக்கம் செய்யுங்கள்.

MBR மீட்பு செயல்முறைக்குப் பிறகு, பாதிக்கப்பட்ட கோப்புகளுக்கான வைரஸ் தடுப்பு நிரல்களுடன் வட்டை ஸ்கேன் செய்ய ஆராய்ச்சியாளர்கள் பரிந்துரைக்கின்றனர்.

குறியாக்க செயல்முறை தொடங்கப்பட்டாலும், ஆரம்ப குறியாக்கச் செயல்பாட்டின் போது கணினி சக்தியை முடக்குவதன் மூலம் பயனரால் குறுக்கிடப்பட்டாலும் இந்த நடவடிக்கைகள் பொருத்தமானவை என்று சைபர் போலீஸ் வல்லுநர்கள் குறிப்பிடுகின்றனர். இந்த வழக்கில், OS ஐ ஏற்றிய பிறகு, நீங்கள் கோப்பு மீட்பு மென்பொருளைப் பயன்படுத்தலாம் (RStudio போன்றவை), பின்னர் அவற்றை வெளிப்புற ஊடகத்திற்கு நகலெடுத்து கணினியை மீண்டும் நிறுவவும்.

அவற்றின் துவக்கத் துறையை (அக்ரோனிஸ் ட்ரூ இமேஜ் போன்றவை) பதிவு செய்யும் தரவு மீட்பு நிரல்களைப் பயன்படுத்தினால், வைரஸ் இந்தப் பகிர்வைத் தொடாது, மேலும் கணினியின் செயல்பாட்டு நிலையை நீங்கள் சோதனைச் சாவடி தேதிக்கு திருப்பி விடலாம் என்பதும் குறிப்பிடத்தக்கது.

M.E.doc திட்டத்தின் பயனர்கள் வழங்கிய பதிவுத் தரவுகளைத் தவிர, வேறு எந்த தகவலும் அனுப்பப்படவில்லை என்று சைபர் காவல்துறை தெரிவித்துள்ளது.

ஜூன் 27, 2017 அன்று, உக்ரேனிய நிறுவனங்கள் மற்றும் அரசு நிறுவனங்களின் தகவல் தொழில்நுட்ப அமைப்புகளில் Petya.A குறியாக்க வைரஸின் பெரிய அளவிலான சைபர் தாக்குதல் தொடங்கியது என்பதை நினைவில் கொள்வோம்.