Petya virüsünün saldırısından sonra işletim sistemine erişim nasıl geri yüklenir: Ukrayna Siber Polisinin önerileri

Ukrayna Ulusal Polisi Siber Polis Departmanı, kullanıcılara Petya.A şifreleme virüsünün siber saldırısına maruz kalan bilgisayarlara erişimin nasıl yeniden sağlanacağı konusunda öneriler yayınladı.

Petya.A fidye yazılımı virüsünü inceleme sürecinde araştırmacılar, kötü amaçlı yazılımın etkisine ilişkin çeşitli seçenekler belirlediler (virüsü yönetici haklarıyla çalıştırırken):

Sistem tamamen tehlikeye girmiştir. Verileri kurtarmak için özel bir anahtar gereklidir ve ekranda, verilerin şifresini çözecek anahtarı almak için fidye ödemenizi isteyen bir pencere görüntülenir.

Bilgisayarlara virüs bulaşmış ve kısmen şifrelenmiştir. Sistem şifreleme işlemini başlattı ancak dış etkenler (örn: elektrik kesintisi vb.) şifreleme işlemini durdurdu.

Bilgisayarlara virüs bulaşmış ancak MFT tablosunun şifrelenmesi süreci henüz başlamamıştır.

İlk seçeneğe gelince, maalesef verinin şifresini çözme garantisi veren bir yöntem şu anda mevcut değil. Siber Polis Departmanı, SBU, DSSTZI, Ukraynalı ve uluslararası BT şirketlerinden uzmanlar bu sorunu çözmek için aktif olarak çalışıyor.

Aynı zamanda, son iki durumda, MFT bölümleme tablosu bozulmadığından veya kısmen bozulmadığından, bilgisayardaki bilgileri geri yükleme şansı vardır; bu, sistemin MBR önyükleme sektörünü geri yükleyerek, bilgisayar başlayacak ve çalışacaktır.

Bu nedenle, değiştirilmiş Truva atı programı “Petya” birkaç aşamada çalışır:

Birincisi: ayrıcalıklı hakların elde edilmesi (yönetici hakları). Windows mimarisindeki (Active Directory) birçok bilgisayarda bu haklar devre dışıdır. Virüs, işletim sistemi için orijinal önyükleme kesimini (MBR) bit düzeyinde XOR işleminin (xor 0x7) şifrelenmiş biçiminde kaydeder ve ardından önyükleyicisini yukarıdaki sektörün yerine yazar; Truva atı kodunun geri kalanı, Diskin ilk sektörleri. Bu adım, şifrelemeyle ilgili bir metin dosyası oluşturur ancak veriler aslında henüz şifrelenmemiştir.

Nedenmiş? Çünkü yukarıda anlatılanlar sadece disk şifrelemeye yönelik hazırlıktır ve ancak sistem yeniden başlatıldıktan sonra başlayacaktır.

İkincisi: Yeniden başlatmanın ardından, virüsün işleminin ikinci aşaması başlar - veri şifreleme, şimdi verilerin henüz şifrelenmediğini ve şifrelenmesi gerektiğini belirten bayrağın ayarlandığı yapılandırma sektörüne dönüyor. Bundan sonra Check Disk programına benzeyen şifreleme işlemi başlar.

Şifreleme işlemi başlatıldı ancak dış etkenler (örn: elektrik kesintisi vb.) şifreleme işlemini durdurdu;
Kullanıcıya bağlı olmayan faktörler (virüsün arızalanması, anti-virüs yazılımının virüsün eylemlerine tepkisi vb.) nedeniyle MFT tablosunun şifrelenmesi süreci henüz başlamamıştır.

Windows kurulum diskinden önyükleme yapın;

Windows kurulum diskinden önyükleme yaptıktan sonra sabit disk bölümlerini içeren bir tablo görünüyorsa, MBR kurtarma işlemine başlayabilirsiniz;

Windows XP'de:

Windows XP kurulum diskini bilgisayarın RAM'ına yükledikten sonra, bir seçim menüsü içeren "Windows XP Professional'ı Yükle" iletişim kutusu görünecektir, "kurtarma konsolunu kullanarak Windows XP'yi geri yüklemek için R tuşuna basın" öğesini seçmelisiniz. . "R" tuşuna basın.

Kurtarma Konsolu yüklenecektir.

PC'de kurulu bir işletim sistemi varsa ve (varsayılan olarak) C sürücüsüne kuruluysa, aşağıdaki mesaj görünecektir:

"1:C:\WINDOWS Hangi Windows kopyasında oturum açmalıyım?"

"1" tuşunu yazın, "Enter" tuşuna basın.

Bir mesaj görünecektir: "Yönetici şifrenizi girin." Şifrenizi girin, "Enter" tuşuna basın (şifre yoksa sadece "Enter" tuşuna basın).

Sistem istemi görünmelidir: C:\WINDOWS> fixmbr komutunu girin

Daha sonra “UYARI” mesajı görünecektir.

"Yeni MBR'nin girişini onaylıyor musunuz?" "Y" tuşuna basın.

Bir mesaj görünecektir: "\Device\Harddisk0\Partition0 fiziksel diskinde yeni bir birincil önyükleme sektörü oluşturuluyor."

"Yeni birincil önyükleme sektörü başarıyla oluşturuldu."

Windows Vista'da:

Windows Vista'yı indirin. Dilinizi ve klavye düzeninizi seçin. Hoş Geldiniz ekranında "Bilgisayarınızı geri yükleyin" seçeneğini tıklayın. Windows Vista bilgisayar menüsünü düzenleyecektir.

İşletim sisteminizi seçin ve İleri'ye tıklayın.

Sistem Kurtarma Seçenekleri penceresi göründüğünde Komut İstemi'ne tıklayın.

Komut istemi göründüğünde şu komutu girin:

Bootrec/FixMbr

İşlemin tamamlanmasını bekleyin. Her şey başarılı olursa ekranda bir onay mesajı görünecektir.

Windows 7 için:

Windows 7'yi indirin.

Dil seçiniz.

Klavye düzeninizi seçin.

İşletim sisteminizi seçin ve İleri'ye tıklayın. Bir işletim sistemi seçerken "Windows'u başlatırken sorunları çözmeye yardımcı olabilecek kurtarma araçlarını kullanın" seçeneğini işaretlemelisiniz.

Sistem Kurtarma Seçenekleri ekranında, Windows 7 Sistem Kurtarma Seçenekleri ekranındaki Komut İstemi düğmesine tıklayın.

Komut istemi başarıyla önyüklendiğinde şu komutu girin:

önyükleme/düzeltmembr

Enter tuşuna basın ve bilgisayarınızı yeniden başlatın.

Windows 8 için

Windows 8'i indirin.

Hoş Geldiniz ekranında, Bilgisayarınızı geri yükleyin düğmesine tıklayın

Windows 8 bilgisayar menüsünü geri yükleyecek

Komut İstemi'ni seçin.

Komut istemi yüklendiğinde aşağıdaki komutları girin:

Bootrec/FixMbr

İşlemin tamamlanmasını bekleyin. Her şey başarılı olursa ekranda bir onay mesajı görünecektir.

Enter tuşuna basın ve bilgisayarınızı yeniden başlatın.

Windows 10 için

Windows 10'u indirin.

Karşılama ekranında "Bilgisayarınızı onarın" düğmesini tıklayın

"Sorun Giderme"yi seçin

Komut İstemi'ni seçin.

Komut istemi yüklendiğinde şu komutu girin:

Bootrec/FixMbr

İşlemin tamamlanmasını bekleyin. Her şey başarılı olursa ekranda bir onay mesajı görünecektir.

Enter tuşuna basın ve bilgisayarınızı yeniden başlatın.

MBR kurtarma prosedürünün ardından araştırmacılar, virüslü dosyalar için diskin antivirüs programlarıyla taranmasını öneriyor.

Siber polis uzmanları, bu eylemlerin, şifreleme işleminin başlatılması ancak kullanıcı tarafından ilk şifreleme işlemi sırasında bilgisayarın gücü kapatılarak kesilmesi durumunda da geçerli olduğunu belirtiyor. Bu durumda işletim sistemini yükledikten sonra dosya kurtarma yazılımını (RStudio gibi) kullanabilir, ardından bunları harici ortama kopyalayıp sistemi yeniden yükleyebilirsiniz.

Ayrıca boot sektörlerini kaydeden veri kurtarma programlarını (Acronis True Image gibi) kullanırsanız virüsün bu bölüme dokunmadığını ve sistemin çalışma durumunu kontrol noktası tarihine döndürebileceğinizi de belirtiyoruz.

Siber polis, M.E.doc programı kullanıcılarının sağladığı kayıt verileri dışında herhangi bir bilginin iletilmediğini bildirdi.

27 Haziran 2017'de Petya'ya yönelik büyük çaplı bir siber saldırının gerçekleştiğini hatırlayalım. Ukrayna şirketlerinin ve devlet kurumlarının BT sistemlerinde bir şifreleme virüsü başladı.