Paano ibalik ang pag-access sa operating system pagkatapos ng pag-atake ng Petya virus: mga rekomendasyon mula sa Cyber ​​​​Police ng Ukraine

Ang Cyber ​​​​Police Department ng Pambansang Pulisya ng Ukraine ay nag-publish ng mga rekomendasyon para sa mga gumagamit kung paano ibalik ang access sa mga computer na napapailalim sa isang cyber attack ng Petya.A encryption virus.

Sa proseso ng pag-aaral ng Petya.A ransomware virus, natukoy ng mga mananaliksik ang ilang opsyon para sa epekto ng malware (kapag nagpapatakbo ng virus na may mga karapatan ng administrator):

Ang sistema ay ganap na nakompromiso. Para mabawi ang data, kailangan ng pribadong key, at may lalabas na window sa screen na humihiling sa iyong magbayad ng ransom para makuha ang key para i-decrypt ang data.

Ang mga computer ay nahawaan at bahagyang naka-encrypt. Sinimulan ng system ang proseso ng pag-encrypt, ngunit ang mga panlabas na salik (hal.: pagkawala ng kuryente, atbp.) ay huminto sa proseso ng pag-encrypt.

Ang mga computer ay nahawaan, ngunit ang proseso ng pag-encrypt ng MFT table ay hindi pa nagsisimula.

Tulad ng para sa unang pagpipilian, sa kasamaang-palad, sa kasalukuyan ay walang paraan na ginagarantiyahan upang i-decrypt ang data. Ang mga espesyalista mula sa Cyber ​​​​Police Department, SBU, DSSTZI, Ukrainian at internasyonal na mga kumpanya ng IT ay aktibong nagtatrabaho upang malutas ang isyung ito.

Kasabay nito, sa huling dalawang kaso ay may pagkakataon na maibalik ang impormasyon na nasa computer, dahil ang MFT partitioning table ay hindi nasira o bahagyang nasira, na nangangahulugan na sa pamamagitan ng pagpapanumbalik ng MBR boot sector ng system, ang magsisimula at gagana ang computer.

Kaya, ang binagong programa ng Trojan na "Petya" ay gumagana sa maraming yugto:

Una: pagkuha ng mga privileged rights (mga karapatan ng administrator). Sa maraming mga computer sa arkitektura ng Windows (Active Directory), ang mga karapatang ito ay hindi pinagana. Ang virus ay nagse-save ng orihinal na sektor ng boot para sa operating system (MBR) sa isang naka-encrypt na anyo ng isang bitwise na operasyon ng XOR (xor 0x7), at pagkatapos ay isinusulat ang bootloader nito bilang kapalit ng sektor sa itaas; ang natitirang bahagi ng Trojan code ay isinulat sa unang mga sektor ng disk. Ang hakbang na ito ay lumilikha ng isang text file tungkol sa pag-encrypt, ngunit ang data ay hindi pa aktwal na naka-encrypt.

Bakit ganon? Dahil ang inilarawan sa itaas ay paghahanda lamang para sa pag-encrypt ng disk at magsisimula lamang ito pagkatapos ma-restart ang system.

Pangalawa: pagkatapos ng pag-reboot, magsisimula ang pangalawang yugto ng pagpapatakbo ng virus - pag-encrypt ng data, lumiliko na ito sa sektor ng pagsasaayos nito, kung saan nakatakda ang bandila na ang data ay hindi pa naka-encrypt at kailangang ma-encrypt. Pagkatapos nito, magsisimula ang proseso ng pag-encrypt, na mukhang ang Check Disk program.

Sinimulan ang proseso ng pag-encrypt, ngunit ang mga panlabas na salik (hal.: pagkawala ng kuryente, atbp.) ay huminto sa proseso ng pag-encrypt;
Ang proseso ng pag-encrypt ng talahanayan ng MFT ay hindi pa nagsisimula dahil sa mga kadahilanan na hindi nakasalalay sa gumagamit (isang malfunction ng virus, ang reaksyon ng anti-virus software sa mga aksyon ng virus, atbp.).

Mag-boot mula sa disk sa pag-install ng Windows;

Kung, pagkatapos mag-boot mula sa disk sa pag-install ng Windows, ang isang talahanayan na may mga partisyon ng hard disk ay makikita, pagkatapos ay maaari mong simulan ang proseso ng pagbawi ng MBR;

Para sa Windows XP:

Matapos i-load ang disk ng pag-install ng Windows XP sa RAM ng PC, lilitaw ang dialog box na "I-install ang Windows XP Professional", na naglalaman ng menu ng pagpili, dapat mong piliin ang item na "upang ibalik ang Windows XP gamit ang recovery console, pindutin ang R." . Pindutin ang "R" KEY.

Maglo-load ang Recovery Console.

Kung ang PC ay may isang OS na naka-install at ito ay (bilang default) na naka-install sa C drive, ang sumusunod na mensahe ay lilitaw:

"1:C:\WINDOWS Aling kopya ng Windows ako dapat mag-sign in?"

I-type ang "1" key, pindutin ang "Enter" key.

May lalabas na mensahe: "Ipasok ang iyong password ng administrator." Ipasok ang iyong password, pindutin ang "Enter" (kung walang password, pindutin lamang ang "Enter").

Dapat lumitaw ang prompt ng system: C:\WINDOWS> ipasok ang fixmbr

Ang mensaheng "BABALA" ay lalabas.

"Kinukumpirma mo ba ang pagpasok ng bagong MBR?" Pindutin ang "Y" key.

Lilitaw ang isang mensahe: "Ang isang bagong pangunahing sektor ng boot ay ginagawa sa pisikal na disk \Device\Harddisk0\Partition0."

"Ang bagong pangunahing sektor ng boot ay matagumpay na nalikha."

Para sa Windows Vista:

I-download ang Windows Vista. Piliin ang iyong wika at layout ng keyboard. Sa Welcome screen, i-click ang "Ibalik ang iyong computer." Ie-edit ng Windows Vista ang menu ng computer.

Piliin ang iyong operating system at i-click ang Susunod.

Kapag lumitaw ang window ng System Recovery Options, mag-click sa Command Prompt.

Kapag lumitaw ang command prompt, ipasok ang command:

bootrec/FixMbr

Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen.

Para sa Windows 7:

I-download ang Windows 7.

Piliin ang Wika.

Piliin ang layout ng iyong keyboard.

Piliin ang iyong operating system at i-click ang Susunod. Kapag pumipili ng operating system, dapat mong suriin ang "Gumamit ng mga tool sa pagbawi na makakatulong sa paglutas ng mga problema sa pagsisimula ng Windows."

Sa screen ng System Recovery Options, i-click ang Command Prompt na button sa screen ng Windows 7 System Recovery Options

Kapag matagumpay na nag-boot ang command prompt, ipasok ang command:

bootrec/fixmbr

Pindutin ang Enter key at i-restart ang iyong computer.

Para sa Windows 8

I-download ang Windows 8.

Sa Welcome screen, i-click ang button na Ibalik ang iyong computer

Ibabalik ng Windows 8 ang menu ng computer

Piliin ang Command Prompt.

Kapag nag-load ang command prompt, ipasok ang mga sumusunod na command:

bootrec/FixMbr

Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen.

Pindutin ang Enter key at i-restart ang iyong computer.

Para sa Windows 10

I-download ang Windows 10.

Sa welcome screen, i-click ang "Ayusin ang iyong computer" na button

Piliin ang "Pag-troubleshoot"

Piliin ang Command Prompt.

Kapag nag-load ang command prompt, ipasok ang command:

bootrec/FixMbr

Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen.

Pindutin ang Enter key at i-restart ang iyong computer.

Pagkatapos ng pamamaraan ng pagbawi ng MBR, inirerekomenda ng mga mananaliksik na i-scan ang disk gamit ang mga antivirus program para sa mga nahawaang file.

Napansin ng mga espesyalista sa cyber police na may kaugnayan din ang mga pagkilos na ito kung sinimulan ang proseso ng pag-encrypt ngunit naantala ng user sa pamamagitan ng pag-off sa power ng computer sa panahon ng paunang proseso ng pag-encrypt. Sa kasong ito, pagkatapos i-load ang OS, maaari mong gamitin ang file recovery software (tulad ng RStudio), pagkatapos ay kopyahin ang mga ito sa panlabas na media at muling i-install ang system.

Napansin din na kung gagamit ka ng mga programa sa pagbawi ng data na nagre-record ng kanilang boot sector (tulad ng Acronis True Image), hindi hinahawakan ng virus ang partition na ito at maaari mong ibalik ang gumaganang estado ng system sa petsa ng checkpoint.

Iniulat ng cyber police na maliban sa data ng pagpaparehistro na ibinigay ng mga gumagamit ng programang M.E.doc, walang impormasyong naipadala.

Alalahanin natin na noong Hunyo 27, 2017, isang malakihang cyberattack ng Petya.Nagsimula ang isang encryption virus sa mga IT system ng mga kumpanyang Ukrainian at ahensya ng gobyerno.