วิธีคืนค่าการเข้าถึงระบบปฏิบัติการหลังการโจมตีโดยไวรัส Petya: คำแนะนำจากตำรวจไซเบอร์แห่งยูเครน

กรมตำรวจไซเบอร์ของสำนักงานตำรวจแห่งชาติของประเทศยูเครนได้เผยแพร่คำแนะนำสำหรับผู้ใช้เกี่ยวกับวิธีการคืนค่าการเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีทางไซเบอร์โดยไวรัสเข้ารหัส Petya.A

ในกระบวนการศึกษาไวรัส Petya.A ransomware นักวิจัยระบุตัวเลือกต่างๆ สำหรับผลกระทบของมัลแวร์ (เมื่อใช้งานไวรัสด้วยสิทธิ์ของผู้ดูแลระบบ):

ระบบถูกบุกรุกอย่างสมบูรณ์ ในการกู้คืนข้อมูล จำเป็นต้องใช้คีย์ส่วนตัว และหน้าต่างจะปรากฏขึ้นบนหน้าจอเพื่อขอให้คุณชำระค่าไถ่เพื่อรับคีย์เพื่อถอดรหัสข้อมูล

คอมพิวเตอร์ติดไวรัสและมีการเข้ารหัสบางส่วน ระบบเริ่มกระบวนการเข้ารหัส แต่ปัจจัยภายนอก (เช่น ไฟฟ้าดับ ฯลฯ) หยุดกระบวนการเข้ารหัส

คอมพิวเตอร์ติดไวรัส แต่กระบวนการเข้ารหัสตาราง MFT ยังไม่เริ่ม

สำหรับตัวเลือกแรก น่าเสียดายที่ขณะนี้ยังไม่มีวิธีการใดที่รับประกันว่าจะถอดรหัสข้อมูลได้ ผู้เชี่ยวชาญจากกรมตำรวจไซเบอร์, SBU, DSSTZI, บริษัทไอทีของยูเครนและต่างประเทศกำลังทำงานอย่างแข็งขันเพื่อแก้ไขปัญหานี้

ในเวลาเดียวกันในสองกรณีสุดท้ายมีโอกาสที่จะกู้คืนข้อมูลที่อยู่ในคอมพิวเตอร์เนื่องจากตารางการแบ่งพาร์ติชัน MFT จะไม่เสียหายหรือเสียหายบางส่วนซึ่งหมายความว่าโดยการกู้คืนเซกเตอร์สำหรับบูต MBR ของระบบ คอมพิวเตอร์จะเริ่มและทำงาน

ดังนั้นโปรแกรมโทรจันที่ได้รับการดัดแปลง "Petya" จึงทำงานได้หลายขั้นตอน:

ประการแรก: การได้รับสิทธิพิเศษ (สิทธิ์ของผู้ดูแลระบบ) ในคอมพิวเตอร์หลายเครื่องในสถาปัตยกรรม Windows (Active Directory) สิทธิ์เหล่านี้จะถูกปิดใช้งาน ไวรัสจะบันทึกบูตเซกเตอร์ดั้งเดิมสำหรับระบบปฏิบัติการ (MBR) ในรูปแบบที่เข้ารหัสของการดำเนินการ XOR ระดับบิต (xor 0x7) จากนั้นเขียนโปรแกรมโหลดบูตแทนที่เซกเตอร์ด้านบน ส่วนที่เหลือของรหัสโทรจันจะถูกเขียนลงใน เซกเตอร์แรกของดิสก์ ขั้นตอนนี้จะสร้างไฟล์ข้อความเกี่ยวกับการเข้ารหัส แต่ข้อมูลยังไม่ได้รับการเข้ารหัสจริง

ทำไมเป็นอย่างนั้น? เนื่องจากสิ่งที่อธิบายไว้ข้างต้นเป็นเพียงการเตรียมการเข้ารหัสดิสก์เท่านั้น และจะเริ่มหลังจากรีสตาร์ทระบบแล้วเท่านั้น

ประการที่สอง: หลังจากการรีบูต ระยะที่สองของการทำงานของไวรัสจะเริ่มต้นขึ้น - การเข้ารหัสข้อมูล ตอนนี้จะเปลี่ยนเป็นเซกเตอร์การกำหนดค่า ซึ่งมีการตั้งค่าสถานะว่าข้อมูลยังไม่ได้เข้ารหัสและจำเป็นต้องเข้ารหัส หลังจากนั้นกระบวนการเข้ารหัสจะเริ่มต้นขึ้นซึ่งดูเหมือนโปรแกรม Check Disk

กระบวนการเข้ารหัสเริ่มต้นขึ้นแล้ว แต่ปัจจัยภายนอก (เช่น ไฟฟ้าดับ ฯลฯ) หยุดกระบวนการเข้ารหัส
กระบวนการเข้ารหัสตาราง MFT ยังไม่ได้เริ่มเนื่องจากปัจจัยที่ไม่ได้ขึ้นอยู่กับผู้ใช้ (ความผิดปกติของไวรัส, ปฏิกิริยาของซอฟต์แวร์ป้องกันไวรัสต่อการกระทำของไวรัส ฯลฯ )

บูตจากดิสก์การติดตั้ง Windows

หากหลังจากบูตจากดิสก์การติดตั้ง Windows หากมองเห็นตารางที่มีพาร์ติชันฮาร์ดไดรฟ์คุณสามารถเริ่มกระบวนการกู้คืน MBR ได้

สำหรับวินโดวส์ XP:

หลังจากโหลดดิสก์การติดตั้ง Windows XP ลงใน RAM ของพีซีแล้วกล่องโต้ตอบ "ติดตั้ง Windows XP Professional" จะปรากฏขึ้นโดยมีเมนูการเลือกคุณต้องเลือกรายการ "เพื่อกู้คืน Windows XP โดยใช้คอนโซลการกู้คืนกด R" . กดคีย์ "R"

คอนโซลการกู้คืนจะโหลดขึ้นมา

หากพีซีติดตั้งระบบปฏิบัติการเดียวและติดตั้ง (โดยค่าเริ่มต้น) บนไดรฟ์ C ข้อความต่อไปนี้จะปรากฏขึ้น:

"1:C:\WINDOWS ฉันควรลงชื่อเข้าใช้ Windows สำเนาใด"

พิมพ์ปุ่ม "1" กดปุ่ม "Enter"

ข้อความจะปรากฏขึ้น: “ป้อนรหัสผ่านผู้ดูแลระบบของคุณ” กรอกรหัสผ่านของคุณ กด "Enter" (หากไม่มีรหัสผ่าน เพียงกด "Enter")

พรอมต์ของระบบควรปรากฏขึ้น: C:\WINDOWS> ป้อน fixmbr

จากนั้นข้อความ “คำเตือน” จะปรากฏขึ้น

“คุณกำลังยืนยันการเข้ามาของ MBR ใหม่หรือไม่” กดปุ่ม "Y"

ข้อความจะปรากฏขึ้น: “บูตเซกเตอร์หลักใหม่กำลังถูกสร้างขึ้นบนฟิสิคัลดิสก์ \Device\Harddisk0\Partition0”

"บูตเซกเตอร์หลักใหม่ได้ถูกสร้างขึ้นเรียบร้อยแล้ว"

สำหรับวินโดวส์วิสต้า:

ดาวน์โหลดวินโดวส์วิสต้า เลือกภาษาและรูปแบบแป้นพิมพ์ของคุณ บนหน้าจอต้อนรับ คลิก "กู้คืนคอมพิวเตอร์ของคุณ" Windows Vista จะแก้ไขเมนูคอมพิวเตอร์

เลือกระบบปฏิบัติการของคุณแล้วคลิกถัดไป

เมื่อหน้าต่าง System Recovery Options ปรากฏขึ้นให้คลิกที่ Command Prompt

เมื่อพรอมต์คำสั่งปรากฏขึ้น ให้ป้อนคำสั่ง:

bootrec/FixMbr

รอให้การดำเนินการเสร็จสิ้น หากทุกอย่างสำเร็จข้อความยืนยันจะปรากฏขึ้นบนหน้าจอ

สำหรับวินโดวส์ 7:

ดาวน์โหลดวินโดวส์ 7

เลือกภาษา.

เลือกรูปแบบแป้นพิมพ์ของคุณ

เลือกระบบปฏิบัติการของคุณแล้วคลิกถัดไป เมื่อเลือกระบบปฏิบัติการ คุณควรทำเครื่องหมายที่ "ใช้เครื่องมือการกู้คืนที่สามารถช่วยแก้ปัญหาในการเริ่ม Windows"

บนหน้าจอ System Recovery Options ให้คลิกปุ่ม Command Prompt บนหน้าจอ Windows 7 System Recovery Options

เมื่อบูตพรอมต์คำสั่งสำเร็จ ให้ป้อนคำสั่ง:

bootrec/fixmbr

กดปุ่ม Enter และรีสตาร์ทคอมพิวเตอร์ของคุณ

สำหรับวินโดวส์ 8

ดาวน์โหลดวินโดวส์ 8

บนหน้าจอต้อนรับ ให้คลิกปุ่มคืนค่าคอมพิวเตอร์ของคุณ

Windows 8 จะคืนค่าเมนูคอมพิวเตอร์

เลือกพร้อมรับคำสั่ง

เมื่อพรอมต์คำสั่งโหลดขึ้น ให้ป้อนคำสั่งต่อไปนี้:

bootrec/FixMbr

รอให้การดำเนินการเสร็จสิ้น หากทุกอย่างสำเร็จข้อความยืนยันจะปรากฏขึ้นบนหน้าจอ

กดปุ่ม Enter และรีสตาร์ทคอมพิวเตอร์ของคุณ

สำหรับวินโดวส์ 10

ดาวน์โหลดวินโดวส์ 10

บนหน้าจอต้อนรับ ให้คลิกปุ่ม "ซ่อมแซมคอมพิวเตอร์ของคุณ"

เลือก "การแก้ไขปัญหา"

เลือกพร้อมรับคำสั่ง

เมื่อพรอมต์คำสั่งโหลดขึ้น ให้ป้อนคำสั่ง:

bootrec/FixMbr

รอให้การดำเนินการเสร็จสิ้น หากทุกอย่างสำเร็จข้อความยืนยันจะปรากฏขึ้นบนหน้าจอ

กดปุ่ม Enter และรีสตาร์ทคอมพิวเตอร์ของคุณ

หลังจากขั้นตอนการกู้คืน MBR นักวิจัยแนะนำให้สแกนดิสก์ด้วยโปรแกรมป้องกันไวรัสเพื่อหาไฟล์ที่ติดไวรัส

ผู้เชี่ยวชาญด้านตำรวจไซเบอร์ทราบว่าการกระทำเหล่านี้มีความเกี่ยวข้องเช่นกันหากกระบวนการเข้ารหัสเริ่มต้นขึ้น แต่ผู้ใช้ถูกขัดจังหวะด้วยการปิดเครื่องคอมพิวเตอร์ในระหว่างกระบวนการเข้ารหัสเริ่มต้น ในกรณีนี้ หลังจากโหลด OS แล้ว คุณสามารถใช้ซอฟต์แวร์กู้คืนไฟล์ (เช่น RStudio) จากนั้นคัดลอกไปยังสื่อภายนอกและติดตั้งระบบใหม่

มีการบันทึกไว้ด้วยว่าหากคุณใช้โปรแกรมกู้คืนข้อมูลที่บันทึกเซกเตอร์สำหรับบูต (เช่น Acronis True Image) ไวรัสจะไม่สัมผัสกับพาร์ติชันนี้และคุณสามารถคืนสถานะการทำงานของระบบกลับเป็นวันที่จุดตรวจสอบได้

ตำรวจไซเบอร์รายงานว่า นอกจากข้อมูลการลงทะเบียนที่ได้รับจากผู้ใช้โปรแกรม M.E.doc แล้ว ไม่มีการส่งข้อมูลใดๆ

ขอให้เราระลึกว่าในวันที่ 27 มิถุนายน 2017 การโจมตีทางไซเบอร์ครั้งใหญ่ของไวรัสเข้ารหัส Petya.A เริ่มขึ้นในระบบไอทีของบริษัทยูเครนและหน่วยงานรัฐบาล