Восстановление доступа к операционной системе, которая была частично поражена вирусом «Petya»: Киберполиция

Просмотров: 922
3 июля 2017 09:42
В процессе исследования вируса «Petya» и его повреждающее действие на компьютеры пользователей, обнаружено несколько вариантов его вмешательства (в случае предоставления трояну при его запуске, прав администратора):

- Компьютеры заражены и зашифрованные (система полностью скомпрометирована). Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.

- Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования.

- Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Что касается первого сценария (варианта) - к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГССиЗИ, отечественных и международных ИТ компаний.

В то же время, в двух последних случаях есть шанс восстановить информацию, находящуюся в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Таким образом модифицированная троянская программа «Petya» работает в несколько этапов:

Первый: получение привилегированных прав (права администратора). На многих компьютерах в архитектуре Windows (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл шифрования, но на самом деле данные еще не зашифрованы.

Почему так? Потому, что описанное выше - это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.

Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

Далее приведены рекомендации, относительно возобновления доступа к пораженной вирусом операционной системы, при условии, если:

процесс шифрования выполняется, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования;

процесс шифрования таблицы MFT еще не начался через факторы, не зависящие от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и тому подобное).

Рекомендуем провести следующие действия для проверки и восстановления зашифрованной информации:

-загрузиться с установочного диска Windows Вашего ПК;



-после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их можно приступить к процессу восстановления MBR;





-провести процедуры восстановления MBR:


Для Windows ХР:

После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить].

Нажмите клавишу «R».



Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

«1: C: WINDOWS В какую копию Windows следует выполнить вход?»

Введите клавишу «1», нажмите клавишу «Enter».

Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).

Должно появиться приглашение системы: C: WINDOWS> введите fixmbr



Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».

«Подтверждаете запись новой MBR?», нажмите клавишу «y».

Появится сообщение: «Проводится новый основная загрузочная запись на физический диск Device Harddisk0 Partition0.»

«Новая основная загрузочная запись успешно сделана».



Для Windows Vista:





Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее».

Когда появится окно «Параметры восстановления системы» нажмите на командную строку.

Когда появится командная строка, введите эту команду:

bootrec /FixMbr



Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузить компьютер.



Для Windows 7






Загрузите Windows 7.

Выберите язык.

Выберите раскладку клавиатуры.

Нажмите кнопку «Далее».

Выберите операционную систему и нажмите кнопку «Далее». Во время выбора операционной системы следует проверить "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows".

На экране "Параметры восстановления системы" нажмите кнопку "Командная строка" на экране "Параметры восстановления системы Windows 7"

Когда командная строка успешно загружается, введите команду:

bootrec /fixmbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузить компьютер.



Для Windows 8



Загрузите Windows 8.

На экране "Приветствие" нажмите кнопку "Восстановить компьютер"

Windows 8 возобновит компьютерное меню

Выберите "Устранение неисправностей"

Выберите командная строка.

Когда загружается командная строка, введите следующие команды:

bootrec /FixMbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузить компьютер.



Для Windows 10




Загрузите Windows 10.

На экране приветствия нажмите кнопку «Восстановить компьютер»

Выберите "Устранение неисправностей"

Выберите командная строка.

Когда загружается командная строка, введите команду:

bootrec /FixMbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузить компьютер

- после процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.

Указанные действия также актуальны, если процесс шифрования был начат, но не закончен и пользователь отключил от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, нужно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.

В дополнение: если Вы используете программы восстановления данных, которая записывает свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.

Следует заметить, что кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакой информации не передавалось.

Источник: https://cyberpolice.gov.ua
Имя:
Ваш комментарий:

Похожие новости: