Восстановление доступа к операционной системе, которая была частично поражена вирусом «Petya»: Киберполиция
Переглядів: 1408
3 липня 2017 09:42
В процессе исследования вируса «Petya» и его повреждающее действие на компьютеры пользователей, обнаружено несколько вариантов его вмешательства (в случае предоставления трояну при его запуске, прав администратора):
- Компьютеры заражены и зашифрованные (система полностью скомпрометирована). Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
- Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования.
- Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Что касается первого сценария (варианта) - к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГССиЗИ, отечественных и международных ИТ компаний.
В то же время, в двух последних случаях есть шанс восстановить информацию, находящуюся в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать.
Таким образом модифицированная троянская программа «Petya» работает в несколько этапов:
Первый: получение привилегированных прав (права администратора). На многих компьютерах в архитектуре Windows (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл шифрования, но на самом деле данные еще не зашифрованы.
Почему так? Потому, что описанное выше - это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.
Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.
Далее приведены рекомендации, относительно возобновления доступа к пораженной вирусом операционной системы, при условии, если:
процесс шифрования выполняется, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования;
процесс шифрования таблицы MFT еще не начался через факторы, не зависящие от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и тому подобное).
Рекомендуем провести следующие действия для проверки и восстановления зашифрованной информации:
-загрузиться с установочного диска Windows Вашего ПК;
-после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их можно приступить к процессу восстановления MBR;
-провести процедуры восстановления MBR:
Для Windows ХР:
После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить].
Нажмите клавишу «R».
Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: WINDOWS В какую копию Windows следует выполнить вход?»
Введите клавишу «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должно появиться приглашение системы: C: WINDOWS> введите fixmbr
Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?», нажмите клавишу «y».
Появится сообщение: «Проводится новый основная загрузочная запись на физический диск Device Harddisk0 Partition0.»
«Новая основная загрузочная запись успешно сделана».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее».
Когда появится окно «Параметры восстановления системы» нажмите на командную строку.
Когда появится командная строка, введите эту команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 7
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Нажмите кнопку «Далее».
Выберите операционную систему и нажмите кнопку «Далее». Во время выбора операционной системы следует проверить "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows".
На экране "Параметры восстановления системы" нажмите кнопку "Командная строка" на экране "Параметры восстановления системы Windows 7"
Когда командная строка успешно загружается, введите команду:
bootrec /fixmbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 8
Загрузите Windows 8.
На экране "Приветствие" нажмите кнопку "Восстановить компьютер"
Windows 8 возобновит компьютерное меню
Выберите "Устранение неисправностей"
Выберите командная строка.
Когда загружается командная строка, введите следующие команды:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 10
Загрузите Windows 10.
На экране приветствия нажмите кнопку «Восстановить компьютер»
Выберите "Устранение неисправностей"
Выберите командная строка.
Когда загружается командная строка, введите команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер
- после процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.
Указанные действия также актуальны, если процесс шифрования был начат, но не закончен и пользователь отключил от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, нужно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.
В дополнение: если Вы используете программы восстановления данных, которая записывает свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Следует заметить, что кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакой информации не передавалось.
Источник: https://cyberpolice.gov.ua
- Компьютеры заражены и зашифрованные (система полностью скомпрометирована). Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
- Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования.
- Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Что касается первого сценария (варианта) - к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГССиЗИ, отечественных и международных ИТ компаний.
В то же время, в двух последних случаях есть шанс восстановить информацию, находящуюся в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать.
Таким образом модифицированная троянская программа «Petya» работает в несколько этапов:
Первый: получение привилегированных прав (права администратора). На многих компьютерах в архитектуре Windows (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл шифрования, но на самом деле данные еще не зашифрованы.
Почему так? Потому, что описанное выше - это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.
Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.
Далее приведены рекомендации, относительно возобновления доступа к пораженной вирусом операционной системы, при условии, если:
процесс шифрования выполняется, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования;
процесс шифрования таблицы MFT еще не начался через факторы, не зависящие от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и тому подобное).
Рекомендуем провести следующие действия для проверки и восстановления зашифрованной информации:
-загрузиться с установочного диска Windows Вашего ПК;
-после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их можно приступить к процессу восстановления MBR;
-провести процедуры восстановления MBR:
Для Windows ХР:
После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить].
Нажмите клавишу «R».
Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: WINDOWS В какую копию Windows следует выполнить вход?»
Введите клавишу «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должно появиться приглашение системы: C: WINDOWS> введите fixmbr
Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?», нажмите клавишу «y».
Появится сообщение: «Проводится новый основная загрузочная запись на физический диск Device Harddisk0 Partition0.»
«Новая основная загрузочная запись успешно сделана».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее».
Когда появится окно «Параметры восстановления системы» нажмите на командную строку.
Когда появится командная строка, введите эту команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 7
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Нажмите кнопку «Далее».
Выберите операционную систему и нажмите кнопку «Далее». Во время выбора операционной системы следует проверить "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows".
На экране "Параметры восстановления системы" нажмите кнопку "Командная строка" на экране "Параметры восстановления системы Windows 7"
Когда командная строка успешно загружается, введите команду:
bootrec /fixmbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 8
Загрузите Windows 8.
На экране "Приветствие" нажмите кнопку "Восстановить компьютер"
Windows 8 возобновит компьютерное меню
Выберите "Устранение неисправностей"
Выберите командная строка.
Когда загружается командная строка, введите следующие команды:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер.
Для Windows 10
Загрузите Windows 10.
На экране приветствия нажмите кнопку «Восстановить компьютер»
Выберите "Устранение неисправностей"
Выберите командная строка.
Когда загружается командная строка, введите команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузить компьютер
- после процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.
Указанные действия также актуальны, если процесс шифрования был начат, но не закончен и пользователь отключил от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, нужно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.
В дополнение: если Вы используете программы восстановления данных, которая записывает свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Следует заметить, что кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакой информации не передавалось.
Источник: https://cyberpolice.gov.ua
Схожі новини: