Як відновити доступ до операційної системи після атаки вірусу Petya: рекомендації від Кіберполіції України

Департамент Кіберполіції Національної поліції України опублікував рекомендації користувачам щодо відновлення доступу до комп'ютерів, які зазнали кібератаки вірусу-шифрувальника Petya.A.

У процесі вивчення вірусу-шифрувальника Petya.A дослідники встановили кілька варіантів впливу шкідливого ПЗ (при запуску вірусу з правами адміністратора):

Система повністю скомпрометована. Для відновлення даних потрібно закритий ключ, а на екрані відображається вікно з повідомленням про вимогу сплати викупу для отримання ключа для розшифрування даних.

Комп'ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні чинники (напр.: відключення живлення тощо) припинили процес шифрування.

Комп'ютери заражені, але процес шифрування таблиці MFT ще почався.

Щодо першого варіанту — на жаль, наразі не встановлено способу, який гарантовано проводить розшифровку даних. Вирішенням цього питання активно займаються фахівці Департаменту кіберполіції, СБУ, ДССТЗІ, українських та міжнародних ІТ-компаній.

В той же час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться на комп'ютері, оскільки таблиця розмітки MFT не порушена або порушена частково, а це означає, що відновивши завантажувальний сектор MBR системи, комп'ютер запуститься і працюватиме.

Таким чином, модифікована троянська програма «Petya» працює в кілька етапів:

Перший: одержання привілейованих прав (права адміністратора). На багатьох комп'ютерах у архітектурі Windows (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) у зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищезгаданого сектора, решта коду трояна записується в перші сектори диска. На цьому етапі створюється текстовий файл про шифрування, але дані ще не зашифровані.

Чому так? Тому що описане вище — це лише підготовка до шифрування диска, і воно почнеться лише після перезапуску системи.

Другий: після перезавантаження настає друга фаза роботи вірусу - шифрування даних, він звертається вже до свого конфігураційного сектора, в якому встановлено прапор, що дані ще не зашифровані та їх потрібно зашифрувати. Після цього починається процес шифрування, що має вигляд роботи програми Check Disk.

Процес шифрування було запущено, але зовнішні фактори (напр.: відключення живлення тощо) припинили процес шифрування;
Процес шифрування таблиці MFT ще почався через чинників, які залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо.).

Завантажити з інсталяційного диска Windows;

Якщо після завантаження з інсталяційного диска Windows буде видно таблицю з розділами жорсткого диска, можна розпочати процес відновлення MBR;

Для Windows XР:

Після завантаження інсталяційного диска Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно «Установка Windows XP Professional», що містить меню вибору, необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». . Натисніть клавішу "R".

Завантажиться консоль відновлення.

Якщо на ПК встановлена ​​одна ОС, і вона (за замовчуванням) встановлена ​​на диску C, з'явиться таке повідомлення:

"1: C: \ WINDOWS В яку копію Windows слід виконати вхід?"

Введіть клавішу 1, натисніть клавішу Enter.

З'явиться повідомлення: "Введіть пароль адміністратора". Введіть пароль, натисніть клавішу «Enter» (якщо немає пароля, просто натисніть «Enter»).

Повинен з'явитись запит системи: C: \ WINDOWS> введіть fixmbr

Потім з'явиться повідомлення: "ПОПЕРЕДЖЕННЯ".

"Підтверджуєте запис нової MBR?". Натисніть клавішу Y.

З'явиться повідомлення: "Створюється новий основний завантажувальний сектор на фізичний диск \Device\Harddisk0\Partition0."

"Новий основний завантажувальний сектор успішно створений".

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть кнопку «Відновити працездатність комп'ютера». Windows Vista редагує комп'ютерне меню.

Виберіть операційну систему та натисніть кнопку «Далі».

Коли з'явиться вікно «Параметри відновлення системи», натисніть командний рядок.

Коли з'явиться командний рядок, введіть команду:

bootrec / FixMbr

Зачекайте, доки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Для Windows 7:

Завантажте Windows 7.

Виберіть мову.

Виберіть клавіатуру.

Виберіть операційну систему та натисніть кнопку «Далі». При виборі операційної системи слід перевірити «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows».

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7"

Коли командний рядок успішно завантажиться, введіть команду:

bootrec/fixmbr

Натисніть клавішу Enter та перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані «Привітання» натисніть кнопку «Відновити комп'ютер»

Windows 8 відновить комп'ютерне меню

Виберіть командний рядок.

Коли завантажиться командний рядок, введіть такі команди:

bootrec / FixMbr

Зачекайте, доки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу Enter та перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку «Відновити комп'ютер»

Виберіть «Усунення несправностей»

Виберіть командний рядок.

Коли командний рядок завантажується, введіть команду:

bootrec / FixMbr

Зачекайте, доки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу Enter та перезавантажте комп'ютер.

Після процедури відновлення MBR дослідники рекомендують перевірити диск антивірусними програмами на наявність заражених файлів.

Фахівці кіберполіції відзначають, що зазначені дії також актуальні, якщо процес шифрування було розпочато, але перервано користувачем шляхом відключення живлення комп'ютера на початковому процесі шифрування. У цьому випадку, після завантаження ОС, можна скористатися програмним забезпеченням відновлення файлів (на зразок RStudio), після чого скопіювати їх на зовнішній носій і перевстановити систему.

Також зазначається що у разі використання програм відновлення даних, які записують свій завантажувальний сектор (на кшталт Acronis True Image), вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

У кіберполіції повідомили, що крім реєстраційних даних, які зазначалися користувачами програми «M.E.doc», жодної інформації не передавалося.

Нагадаємо, 27 червня 2017 року розпочалася масштабна кібератака вірусу-шифрувальника Petya.A на IT-системи українських компаній та держустанов.