Mga seksyon ng site
Pinili ng Editor:
- Ang BIOS ay beep kapag binubuksan ang PC
- Paano tanggalin ang isang pahina sa isang contact?
- Paano tanggalin ang isang tinanggal na pahina ng VKontakte?
- ENIAC - ang pinakaunang computer sa mundo
- Na-block ang VKontakte sa trabaho, paano ko ito malalampasan?
- Paano tanggalin ang isang pahina ng VKontakte mula sa iyong telepono
- Mga paraan upang i-format ang isang hard drive gamit ang BIOS
- Paano mag-log in sa Odnoklassniki kung naharang ang site?
- Paano permanenteng tanggalin ang isang pahina sa contact?
- Paano i-bypass ang VK at Odnoklassniki blocking sa Ukraine
Advertising
Paano ibalik ang pag-access sa operating system pagkatapos ng pag-atake ng Petya virus: mga rekomendasyon mula sa Cyber Police ng Ukraine |
03 HulPaano ibalik ang pag-access sa operating system pagkatapos ng pag-atake ng Petya virus: mga rekomendasyon mula sa Cyber Police ng UkraineAng Cyber Police Department ng Pambansang Pulisya ng Ukraine ay nag-publish ng mga rekomendasyon para sa mga gumagamit kung paano ibalik ang access sa mga computer na napapailalim sa isang cyber attack ng Petya.A encryption virus. Sa proseso ng pag-aaral ng Petya.A ransomware virus, natukoy ng mga mananaliksik ang ilang opsyon para sa epekto ng malware (kapag nagpapatakbo ng virus na may mga karapatan ng administrator): Ang sistema ay ganap na nakompromiso. Para mabawi ang data, kailangan ng pribadong key, at may lalabas na window sa screen na humihiling sa iyong magbayad ng ransom para makuha ang key para i-decrypt ang data. Ang mga computer ay nahawaan at bahagyang naka-encrypt. Sinimulan ng system ang proseso ng pag-encrypt, ngunit ang mga panlabas na salik (hal.: pagkawala ng kuryente, atbp.) ay huminto sa proseso ng pag-encrypt. Ang mga computer ay nahawaan, ngunit ang proseso ng pag-encrypt ng MFT table ay hindi pa nagsisimula. Tulad ng para sa unang pagpipilian, sa kasamaang-palad, sa kasalukuyan ay walang paraan na ginagarantiyahan upang i-decrypt ang data. Ang mga espesyalista mula sa Cyber Police Department, SBU, DSSTZI, Ukrainian at internasyonal na mga kumpanya ng IT ay aktibong nagtatrabaho upang malutas ang isyung ito. Kasabay nito, sa huling dalawang kaso ay may pagkakataon na maibalik ang impormasyon na nasa computer, dahil ang MFT partitioning table ay hindi nasira o bahagyang nasira, na nangangahulugan na sa pamamagitan ng pagpapanumbalik ng MBR boot sector ng system, ang magsisimula at gagana ang computer. Kaya, ang binagong programa ng Trojan na "Petya" ay gumagana sa maraming yugto: Una: pagkuha ng mga privileged rights (mga karapatan ng administrator). Sa maraming mga computer sa arkitektura ng Windows (Active Directory), ang mga karapatang ito ay hindi pinagana. Ang virus ay nagse-save ng orihinal na sektor ng boot para sa operating system (MBR) sa isang naka-encrypt na anyo ng isang bitwise na operasyon ng XOR (xor 0x7), at pagkatapos ay isinusulat ang bootloader nito bilang kapalit ng sektor sa itaas; ang natitirang bahagi ng Trojan code ay isinulat sa unang mga sektor ng disk. Ang hakbang na ito ay lumilikha ng isang text file tungkol sa pag-encrypt, ngunit ang data ay hindi pa aktwal na naka-encrypt. Bakit ganon? Dahil ang inilarawan sa itaas ay paghahanda lamang para sa pag-encrypt ng disk at magsisimula lamang ito pagkatapos ma-restart ang system. Pangalawa: pagkatapos ng pag-reboot, magsisimula ang pangalawang yugto ng pagpapatakbo ng virus - pag-encrypt ng data, lumiliko na ito sa sektor ng pagsasaayos nito, kung saan nakatakda ang bandila na ang data ay hindi pa naka-encrypt at kailangang ma-encrypt. Pagkatapos nito, magsisimula ang proseso ng pag-encrypt, na mukhang ang Check Disk program. Sinimulan ang proseso ng pag-encrypt, ngunit ang mga panlabas na salik (hal.: pagkawala ng kuryente, atbp.) ay huminto sa proseso ng pag-encrypt; Mag-boot mula sa disk sa pag-install ng Windows; Kung, pagkatapos mag-boot mula sa disk sa pag-install ng Windows, ang isang talahanayan na may mga partisyon ng hard disk ay makikita, pagkatapos ay maaari mong simulan ang proseso ng pagbawi ng MBR; Para sa Windows XP: Matapos i-load ang disk ng pag-install ng Windows XP sa RAM ng PC, lilitaw ang dialog box na "I-install ang Windows XP Professional", na naglalaman ng menu ng pagpili, dapat mong piliin ang item na "upang ibalik ang Windows XP gamit ang recovery console, pindutin ang R." . Pindutin ang "R" KEY. Maglo-load ang Recovery Console. Kung ang PC ay may isang OS na naka-install at ito ay (bilang default) na naka-install sa C drive, ang sumusunod na mensahe ay lilitaw: "1:C:\WINDOWS Aling kopya ng Windows ako dapat mag-sign in?" I-type ang "1" key, pindutin ang "Enter" key. May lalabas na mensahe: "Ipasok ang iyong password ng administrator." Ipasok ang iyong password, pindutin ang "Enter" (kung walang password, pindutin lamang ang "Enter"). Dapat lumitaw ang prompt ng system: C:\WINDOWS> ipasok ang fixmbr Ang mensaheng "BABALA" ay lalabas. "Kinukumpirma mo ba ang pagpasok ng bagong MBR?" Pindutin ang "Y" key. Lilitaw ang isang mensahe: "Ang isang bagong pangunahing sektor ng boot ay ginagawa sa pisikal na disk \Device\Harddisk0\Partition0." "Ang bagong pangunahing sektor ng boot ay matagumpay na nalikha." Para sa Windows Vista: I-download ang Windows Vista. Piliin ang iyong wika at layout ng keyboard. Sa Welcome screen, i-click ang "Ibalik ang iyong computer." Ie-edit ng Windows Vista ang menu ng computer. Piliin ang iyong operating system at i-click ang Susunod. Kapag lumitaw ang window ng System Recovery Options, mag-click sa Command Prompt. Kapag lumitaw ang command prompt, ipasok ang command: bootrec/FixMbr Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen. Para sa Windows 7: I-download ang Windows 7. Piliin ang Wika. Piliin ang layout ng iyong keyboard. Piliin ang iyong operating system at i-click ang Susunod. Kapag pumipili ng operating system, dapat mong suriin ang "Gumamit ng mga tool sa pagbawi na makakatulong sa paglutas ng mga problema sa pagsisimula ng Windows." Sa screen ng System Recovery Options, i-click ang Command Prompt na button sa screen ng Windows 7 System Recovery Options Kapag matagumpay na nag-boot ang command prompt, ipasok ang command: bootrec/fixmbr Pindutin ang Enter key at i-restart ang iyong computer. Para sa Windows 8 I-download ang Windows 8. Sa Welcome screen, i-click ang button na Ibalik ang iyong computer Ibabalik ng Windows 8 ang menu ng computer Piliin ang Command Prompt. Kapag nag-load ang command prompt, ipasok ang mga sumusunod na command: bootrec/FixMbr Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen. Pindutin ang Enter key at i-restart ang iyong computer. Para sa Windows 10 I-download ang Windows 10. Sa welcome screen, i-click ang "Ayusin ang iyong computer" na button Piliin ang "Pag-troubleshoot" Piliin ang Command Prompt. Kapag nag-load ang command prompt, ipasok ang command: bootrec/FixMbr Hintaying makumpleto ang operasyon. Kung matagumpay ang lahat, may lalabas na mensahe ng kumpirmasyon sa screen. Pindutin ang Enter key at i-restart ang iyong computer. Pagkatapos ng pamamaraan ng pagbawi ng MBR, inirerekomenda ng mga mananaliksik na i-scan ang disk gamit ang mga antivirus program para sa mga nahawaang file. Napansin ng mga espesyalista sa cyber police na may kaugnayan din ang mga pagkilos na ito kung sinimulan ang proseso ng pag-encrypt ngunit naantala ng user sa pamamagitan ng pag-off sa power ng computer sa panahon ng paunang proseso ng pag-encrypt. Sa kasong ito, pagkatapos i-load ang OS, maaari mong gamitin ang file recovery software (tulad ng RStudio), pagkatapos ay kopyahin ang mga ito sa panlabas na media at muling i-install ang system. Napansin din na kung gagamit ka ng mga programa sa pagbawi ng data na nagre-record ng kanilang boot sector (tulad ng Acronis True Image), hindi hinahawakan ng virus ang partition na ito at maaari mong ibalik ang gumaganang estado ng system sa petsa ng checkpoint. Iniulat ng cyber police na maliban sa data ng pagpaparehistro na ibinigay ng mga gumagamit ng programang M.E.doc, walang impormasyong naipadala. Alalahanin natin na noong Hunyo 27, 2017, isang malakihang cyberattack ng Petya.Nagsimula ang isang encryption virus sa mga IT system ng mga kumpanyang Ukrainian at ahensya ng gobyerno. |
Basahin: |
---|
Sikat:
Bago
- Paano tanggalin ang isang pahina sa isang contact?
- Paano tanggalin ang isang tinanggal na pahina ng VKontakte?
- ENIAC - ang pinakaunang computer sa mundo
- Na-block ang VKontakte sa trabaho, paano ko ito malalampasan?
- Paano tanggalin ang isang pahina ng VKontakte mula sa iyong telepono
- Mga paraan upang i-format ang isang hard drive gamit ang BIOS
- Paano mag-log in sa Odnoklassniki kung naharang ang site?
- Paano permanenteng tanggalin ang isang pahina sa contact?
- Paano i-bypass ang VK at Odnoklassniki blocking sa Ukraine
- Pag-format sa pamamagitan ng BIOS