Petya virusi hujumidan keyin operatsion tizimga kirishni qanday tiklash mumkin: Ukraina kiberpolitsiyasining tavsiyalari

Ukraina Milliy politsiyasining Kiberpolitsiya departamenti foydalanuvchilarga Petya.A shifrlash virusi tomonidan kiberhujumga uchragan kompyuterlarga kirishni tiklash bo‘yicha tavsiyalarni e’lon qildi.

Petya.A ransomware virusini o'rganish jarayonida tadqiqotchilar zararli dastur ta'sirining bir nechta variantlarini aniqladilar (virusni administrator huquqlari bilan ishga tushirishda):

Tizim butunlay buzilgan. Ma'lumotni qayta tiklash uchun shaxsiy kalit talab qilinadi va ekranda ma'lumotlarni parolini ochish uchun kalitni olish uchun to'lovni to'lashni so'ragan oyna paydo bo'ladi.

Kompyuterlar zararlangan va qisman shifrlangan. Tizim shifrlash jarayonini boshladi, lekin tashqi omillar (masalan: elektr uzilishi va boshqalar) shifrlash jarayonini to'xtatdi.

Kompyuterlar zararlangan, ammo MFT jadvalini shifrlash jarayoni hali boshlanmagan.

Birinchi variantga kelsak, afsuski, hozirda ma'lumotlarni shifrlash uchun kafolatlangan usul yo'q. Kiberpolitsiya departamenti, SBU, DSSTZI, Ukraina va xalqaro IT kompaniyalari mutaxassislari ushbu muammoni hal qilish uchun faol ishlamoqda.

Shu bilan birga, oxirgi ikki holatda kompyuterdagi ma'lumotlarni qayta tiklash imkoniyati mavjud, chunki MFT bo'linish jadvali buzilmagan yoki qisman buzilmagan, ya'ni tizimning MBR yuklash sektorini tiklash orqali kompyuter ishga tushadi va ishlaydi.

Shunday qilib, o'zgartirilgan "Petya" troyan dasturi bir necha bosqichda ishlaydi:

Birinchisi: imtiyozli huquqlarni olish (administrator huquqlari). Windows arxitekturasida (Active Directory) ko'plab kompyuterlarda bu huquqlar o'chirilgan. Virus operatsion tizim (MBR) uchun asl yuklash sektorini bitli XOR operatsiyasining shifrlangan shaklida saqlaydi (xor 0x7) va keyin yuqoridagi sektor o'rniga o'zining yuklovchisini yozadi; Troyan kodining qolgan qismi diskning birinchi sektorlari. Ushbu qadam shifrlash haqida matn faylini yaratadi, ammo ma'lumotlar aslida shifrlanmagan.

Nega bunday? Chunki yuqorida tavsiflangan narsa faqat diskni shifrlash uchun tayyorgarlikdir va u faqat tizim qayta ishga tushirilgandan keyin boshlanadi.

Ikkinchidan: qayta ishga tushirilgandan so'ng, virus ishining ikkinchi bosqichi boshlanadi - ma'lumotlarni shifrlash, endi u o'zining konfiguratsiya sektoriga o'tadi, unda ma'lumotlar hali shifrlanmagan va shifrlanishi kerak deb belgi qo'yilgan. Shundan so'ng shifrlash jarayoni boshlanadi, bu Check Disk dasturiga o'xshaydi.

Shifrlash jarayoni boshlandi, lekin tashqi omillar (masalan: elektr uzilishi va h.k.) shifrlash jarayonini to'xtatdi;
MFT jadvalini shifrlash jarayoni foydalanuvchiga bog'liq bo'lmagan omillar (virusning noto'g'ri ishlashi, virusga qarshi dasturning virus harakatlariga reaktsiyasi va boshqalar) tufayli hali boshlanmagan.

Windows o'rnatish diskidan yuklash;

Agar Windows o'rnatish diskidan yuklangandan so'ng, qattiq disk bo'limlari bo'lgan jadval ko'rinadigan bo'lsa, siz MBRni tiklash jarayonini boshlashingiz mumkin;

Windows XP uchun:

Windows XP o'rnatish diskini shaxsiy kompyuterning operativ xotirasiga yuklagandan so'ng, tanlov menyusini o'z ichiga olgan "Windows XP Professional-ni o'rnatish" dialog oynasi paydo bo'ladi, siz "Windows XP-ni tiklash konsoli yordamida tiklash uchun R tugmasini bosing" bandini tanlashingiz kerak. . "R" tugmasini bosing.

Qayta tiklash konsoli yuklanadi.

Agar shaxsiy kompyuterda bitta OS o'rnatilgan bo'lsa va u (sukut bo'yicha) C diskida o'rnatilgan bo'lsa, quyidagi xabar paydo bo'ladi:

"1:C:\WINDOWS Windowsning qaysi nusxasiga kirishim kerak?"

"1" tugmachasini kiriting, "Enter" tugmasini bosing.

"Administrator parolini kiriting" degan xabar paydo bo'ladi. Parolingizni kiriting, "Enter" tugmasini bosing (agar parol bo'lmasa, "Enter" tugmasini bosing).

Tizim so'rovi paydo bo'lishi kerak: C:\WINDOWS> fixmbr-ni kiriting

Shundan so'ng "OGOHLANTIRISH" xabari paydo bo'ladi.

"Siz yangi MBR kirishini tasdiqlaysizmi?" "Y" tugmasini bosing.

Xabar paydo bo'ladi: "Jismoniy disk \Device\Harddisk0\Partition0 da yangi asosiy yuklash sektori yaratilmoqda."

"Yangi asosiy yuklash sektori muvaffaqiyatli yaratildi."

Windows Vista uchun:

Windows Vista-ni yuklab oling. Til va klaviatura tartibini tanlang. Xush kelibsiz ekranda "Kompyuteringizni qayta tiklash" tugmasini bosing. Windows Vista kompyuter menyusini tahrir qiladi.

Operatsion tizimingizni tanlang va Keyingiga bosing.

Tizimni tiklash parametrlari oynasi paydo bo'lganda, Buyruqning satrini bosing.

Buyruq satri paydo bo'lganda, buyruqni kiriting:

bootrec/FixMbr

Operatsiya tugashini kuting. Agar hamma narsa muvaffaqiyatli bo'lsa, ekranda tasdiqlash xabari paydo bo'ladi.

Windows 7 uchun:

Windows 7 ni yuklab oling.

Tilni tanlang.

Klaviatura tartibini tanlang.

Operatsion tizimingizni tanlang va Keyingiga bosing. Operatsion tizimni tanlashda "Windows-ni ishga tushirish bilan bog'liq muammolarni hal qilishga yordam beradigan tiklash vositalaridan foydalanish" bandini tekshirishingiz kerak.

Tizimni tiklash parametrlari ekranida Windows 7 tizimni tiklash parametrlari ekranidagi Buyruqning so'rovi tugmasini bosing.

Buyruq satri muvaffaqiyatli ishga tushganda, buyruqni kiriting:

bootrec/fixmbr

Enter tugmasini bosing va kompyuteringizni qayta yoqing.

Windows 8 uchun

Windows 8 ni yuklab oling.

Xush kelibsiz ekranda Kompyuteringizni tiklash tugmasini bosing

Windows 8 kompyuter menyusini tiklaydi

Buyruqning satrini tanlang.

Buyruqlar satri yuklanganda quyidagi buyruqlarni kiriting:

bootrec/FixMbr

Operatsiya tugashini kuting. Agar hamma narsa muvaffaqiyatli bo'lsa, ekranda tasdiqlash xabari paydo bo'ladi.

Enter tugmasini bosing va kompyuteringizni qayta yoqing.

Windows 10 uchun

Windows 10 ni yuklab oling.

Xush kelibsiz ekranda "Kompyuteringizni ta'mirlash" tugmasini bosing

"Muammolarni bartaraf etish" ni tanlang

Buyruqning satrini tanlang.

Buyruq satri yuklanganda buyruqni kiriting:

bootrec/FixMbr

Operatsiya tugashini kuting. Agar hamma narsa muvaffaqiyatli bo'lsa, ekranda tasdiqlash xabari paydo bo'ladi.

Enter tugmasini bosing va kompyuteringizni qayta yoqing.

MBR-ni tiklash protsedurasidan so'ng tadqiqotchilar virusga chalingan fayllar uchun diskni antivirus dasturlari bilan skanerlashni tavsiya qiladilar.

Kiberpolitsiya mutaxassislarining ta'kidlashicha, agar shifrlash jarayoni boshlangan bo'lsa, lekin foydalanuvchi tomonidan dastlabki shifrlash jarayonida kompyuter quvvatini o'chirish orqali to'xtatilgan bo'lsa, bu harakatlar ham tegishli. Bunday holda, operatsion tizimni yuklaganingizdan so'ng, siz fayllarni tiklash dasturidan (masalan, RStudio) foydalanishingiz mumkin, keyin ularni tashqi muhitga nusxalashingiz va tizimni qayta o'rnatishingiz mumkin.

Bundan tashqari, agar siz ularning yuklash sektorini (masalan, Acronis True Image) yozib oladigan ma'lumotlarni tiklash dasturlaridan foydalansangiz, virus bu bo'limga tegmasligi va tizimning ish holatini nazorat nuqtasi sanasiga qaytarishingiz mumkinligi ham qayd etilgan.

Kiberpolitsiyaning xabar berishicha, M.E.doc dasturi foydalanuvchilari tomonidan taqdim etilgan ro'yxatga olish ma'lumotlaridan tashqari, hech qanday ma'lumot uzatilmagan.

Eslatib o‘tamiz, 2017-yilning 27-iyunida Ukraina kompaniyalari va davlat idoralarining IT-tizimlariga Petya.A shifrlash virusining keng ko‘lamli kiberhujumi boshlangan edi.