Советы Киберполиции по восстановлению доступа к ОС, которая была частично поражена вирусом...

Советы Киберполиции по восстановлению доступа к ОС, которая была частично поражена вирусом «Petya»

ПОДЕЛИТЬСЯ
Специалисты ISSP Labs 22 августа зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium

В процессе исследования вируса «Petya» и его вредное воздействие на компьютеры пользователей, выявлено несколько вариантов его вмешательства (в случае предоставления трояна при его запуске, прав администратора):

  1. Компьютеры заражены и зашифрованные (система полностью скомпрометирована). Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
  2. Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр .: отключение питания и т.д.) прекратили процесс шифрования.
  3. Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Об этом сообщает интернет-издание «Информат» со ссылкой на пресс-службу Киберполиции Украины.

Что касается первого сценария (варианта) — к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, отечественных и международных ИТ компаний.

В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Таким образом модифицирована троянская программа «Petya» работает в несколько этапов:

Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальные кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Почему так? Потому что описанное выше — это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.

Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.

Далее приведены рекомендации, о возобновлении доступа к пораженному вирусом операционной системы, при условии, что:

  • процесс шифрования была запущена, но внешние факторы (напр .: отключение питания и т.д.) прекратили процесс шифрования;
  • процесс шифрования таблицы MFT еще не начался из-за факторов, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и т.д.).

Рекомендуем провести следующие действия для проверки и восстановления зашифрованной информации:

-завантажитись с установочного диска Windows Вашего ПК;

-после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их можно приступить к процессу восстановления MBR;

-провести процедуры восстановления MBR:

Для Windows XР:

После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить].

Нажмите «R».

Загрузится консоль восстановления.

Если на ПК установлена ​​одна ОС, и она (по умолчанию) установлена ​​на диске C, появится следующее сообщение:

«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»

Введите клавишу «1», нажмите клавишу «Enter».

Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).

Должно появиться приглашение системы: C: \ WINDOWS> введите fixmbr

Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».

«Подтверждаете запись новой MBR?», Нажмите клавишу «y».

Появится сообщение: «Проводится новый основной загрузочную запись на физический диск \ Device \ Harddisk0 \ Partition0.»

«Новый основной загрузочную запись успешно сделан».

Для Windows Vista:

Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее».

Когда появится окно «Параметры восстановления системы», нажмите на командную строку.

Когда появится командная строка, введите эту команду:

bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 7

Загрузите Windows 7.

Выберите язык.

Выберите раскладку клавиатуры.

Нажмите кнопку «Далее».

Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7»

Когда командную строку успешно загружается, введите команду:

bootrec / fixmbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 8

Загрузите Windows 8.

На экране «Приветствие» нажмите кнопку «Восстановить компьютер»

Windows 8 восстановит компьютерное меню

Выберите «Устранение неисправностей»

Выберите командную строку.

Когда загружается командную строку, введите следующие команды:

bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 10

Загрузите Windows 10.

На экране приветствия нажмите кнопку «Восстановить компьютер»

Выберите «Устранение неисправностей»

Выберите командную строку.

Когда загружается командную строку, введите команду:

bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер

— после процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.

Указанные действия также актуальны, если процесс шифрования было начато, но не закончено и пользователь отключил от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, надо воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.

В дополнение: если Вы используете программы восстановления данных, которая записывает свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.

Следует заметить, что на кроме регистрационных данных, указывались пользователями программы «M.E.doc», никакой информации не передавалось.

О чем вы думаете?

Загрузка...
Loading...