На официальном сайте Киберполиции опубликованы рекомендации о восстановлению доступа к ПК, которые были заражены вирусом Petya.
В процессе исследования вируса "Petya" и его вредные действия на компьютеры пользователей, выявлено несколько вариантов его вмешательства (в случае предоставления трояну прав администратора при его запуске).
- Компьютеры зараженные и зашифрованные (система полностью скомпрометирована). Возобновление содержимого требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокирования файлов.
- Компьютеры заражены, частично зашифрованные. Система начала процесс шифровки, но внешние факторы (напр.: выключка питания и так далее) прекратили процесс шифровки.
- Компьютеры заражены, но при этом процесс шифровки таблицы MFT еще не начался.
Что касается первого сценария - к сожалению, на настоящее время пока не установлено способ, который гарантированно проводит расшифровывание данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДСТСЗИ, отечественных и международных ІТ компаний.
В то же время, в двух последних случаях есть шанс возобновить информацию, которая находится в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что после возобновления загрузочного сектора MBR системы, машина запускается и может работать.
Таким образом модифицированная троянская программа "Petya" работает в несколько этапов:
Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус хранит оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а потом записывает своего загрузчика на место вышеуказанного сектора, остальной код трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровке, но в действительности данные еще не зашифрованы.
Почему так? Потому, что описано выше - это лишь подготовка к шифровке диска и оно начнется только после перезапуска системы.
Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифровки, который имеет вид работы программы Check Disk.
Дальше приведены рекомендации, относительно возобновления доступа к пораженной вирусом операционной системе, при условиях, если:
- процесс шифровки был запущен, но внешние факторы (напр.: выключено питание и так далее) прекратили процесс шифровки;
- процесс шифровки таблицы MFT еще не начался через факторы, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действии вируса и тому подобное).
Рекомендуем провести следующие действия для проверки и возобновления зашифрованной информации:
- загрузиться из инсталляционного диска Windows Вашего ПК;
- после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно приступить к процессу возобновления MBR;
Для Windows XР:
После загрузки инсталяционного диска Windows XP в оперативную память ПК, появится диалоговое окно "Установка Windows XP Professional", которая содержит меню выбора, далее необходимо выбрать пункт "чтобы возобновить Windows XP с помощью консоли возобновления, нажмите R". [R = Возобновить].
Если на ПК установлена одна ОС, и она (по умалчиванию) установлена на диске C, появится следующее сообщение:
"1: C: \ WINDOWS В какую копию Windows следуетвыполнить вход"?
Введите клавишу "1", нажмите "Enter".
Появится сообщение: "Введите пароль администратора". Введите пароль, нажмите клавишу "Enter" (если пароля нет, просто нажмите "Enter").
Должно появиться приглашение системы : C: \ WINDOWS>, введите fixmbr
Появится сообщение: "ПРЕДУПРЕЖДЕНИЕ".
"Подтверждаете ли запись новой MBR"?, нажмите клавишу "y".
Появится сообщение: "Проводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0".
"Новая основная загрузочная запись успешно сделана".
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите "Возобновить работоспособность компьютера". Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку"Дальше".
Когда появится окно "Параметры возобновления системы", нажмите на командную строку.
Когда появится командная строка, введите эту команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу "Enter" и перезагрузите компьютер.
Для Windows 7:
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Нажмите кнопку "Дальше".
Выберите операционную систему и нажмите кнопку "Дальше". Во время выбора операционной системы следует проверить "Использовать инструменты для возобновления, которые могут помочь решить проблемы с запуском Windows".
На экране "Параметры возобновления системы" нажмите кнопку "Командная строка" на экране "Параметры возобновления системы Windows 7"
Когда командная строка успешно загружается, введите команду:
bootrec /fixmbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу "Enter" и перезагрузите компьютер.
Для Windows 8:
Загрузите Windows 8.
На экране "Приветствия" нажмите кнопку "Возобновить компьютер".
Windows 8 возобновит компьютерное меню.
Выберите "Устранение неисправностей".
Выберите командную строку.
Когда загружается командная строка, введите такие команды:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу "Enter" и перезагрузите компьютер.
Для Windows 10:
Загрузите Windows 10.
На экране приветствия нажмите кнопку "Возобновить компьютер"
Выберите "Устранение неисправностей"
Выберите командную строку.
Когда загружается командная строка, введите команду:
bootrec /FixMbr
Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу "Enter" и перезагрузите компьютер
- после процедуры возобновления MBR, нужно проверить диск антивирусными программами на наличие файлов из трояном.
Указанные действия также актуальны, если процесс шифровки был начат, но не закончен и пользователь отключил от питания на начальных процессах шифровки. В данном случае, после загрузки ОС, надо воспользоваться программным обеспечением по возобновлению файлов (например, RStudio), после чего скопировать их на внешний носитель и переустановить систему.
В дополнение: если Вы используете программы возобновления данных, которые записывают свой загрузочный сектор (например, Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Следует заметить, что на кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакая информация не передавалась.
