Киберполиция рассказала как восстановить доступ к операционной системе, которая была частично поражена модифицированной троянской программой "Petya" - интернет-магазин SoftOnline

Киберполиция рассказала как восстановить доступ к операционной системе, которая была частично поражена модифицированной троянской программой "Petya" - интернет-магазин SoftOnline

На официальном сайте Киберполиции опубликованы рекомендации о восстановлению доступа к ПК, которые были заражены вирусом Petya.

В процессе исследования вируса "Petya" и его вредные действия на компьютеры пользователей, выявлено несколько вариантов его вмешательства (в случае предоставления трояну прав администратора при его запуске). 


  1. Компьютеры зараженные и зашифрованные (система полностью скомпрометирована). Возобновление содержимого требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокирования файлов.
  2. Компьютеры заражены, частично зашифрованные. Система начала процесс шифровки, но внешние факторы (напр.: выключка питания и так далее) прекратили процесс шифровки.
  3. Компьютеры заражены, но при этом процесс шифровки таблицы MFT еще не начался.


Что касается первого сценария - к сожалению, на настоящее время пока не установлено способ, который гарантированно проводит расшифровывание данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДСТСЗИ, отечественных и международных ІТ компаний.

В то же время, в двух последних случаях есть шанс возобновить информацию, которая находится в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что после возобновления загрузочного сектора MBR системы, машина запускается и может работать.

Таким образом модифицированная троянская программа "Petya" работает в несколько этапов:

Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус хранит оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а потом записывает своего загрузчика на место вышеуказанного сектора, остальной код трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровке, но в действительности данные еще не зашифрованы.

Почему так? Потому, что описано выше - это лишь подготовка к шифровке диска и оно начнется только после перезапуска системы.

Второй: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифровки, который имеет вид работы программы Check Disk.

Дальше приведены рекомендации, относительно возобновления доступа к пораженной вирусом операционной системе, при условиях, если:

  • процесс шифровки был запущен, но внешние факторы (напр.: выключено питание и так далее) прекратили процесс шифровки;
  • процесс шифровки таблицы MFT еще не начался через факторы, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действии вируса и тому подобное).


Рекомендуем провести следующие действия для проверки и возобновления зашифрованной информации:

- загрузиться из инсталляционного диска Windows Вашего ПК;



image_dgsdg.png


- после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно приступить к процессу возобновления MBR;


image_dRT07we.png


- провести процедуры возобновления MBR:

Для Windows XР:

После загрузки инсталяционного диска Windows XP в оперативную память ПК, появится диалоговое окно "Установка Windows XP Professional", которая содержит меню выбора, далее необходимо выбрать пункт "чтобы возобновить Windows XP с помощью консоли возобновления, нажмите R". [R = Возобновить].

image_Y4awewe.png


Погрузится консоль возобновления.

Если на ПК установлена одна ОС, и она (по умалчиванию) установлена на диске C, появится следующее сообщение:

"1: C: \ WINDOWS В какую копию Windows следуетвыполнить вход"?

Введите клавишу "1", нажмите "Enter".

Появится сообщение: "Введите пароль администратора". Введите пароль, нажмите клавишу "Enter" (если пароля нет, просто нажмите "Enter").

Должно появиться приглашение системы : C: \ WINDOWS>, введите fixmbr

image_RuPdfdf.png


Появится сообщение: "ПРЕДУПРЕЖДЕНИЕ".

"Подтверждаете ли запись новой MBR"?, нажмите клавишу "y".

Появится сообщение: "Проводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0".

"Новая основная загрузочная запись успешно сделана".



Для Windows Vista:

image_NzJTk49efe.png


Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите "Возобновить работоспособность компьютера". Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку"Дальше".

Когда появится окно "Параметры возобновления системы", нажмите на командную строку.

Когда появится командная строка, введите эту команду:

bootrec /FixMbr


Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу "Enter" и перезагрузите компьютер.



Для Windows 7:


image_kYNerere.png


Загрузите Windows 7.

Выберите язык.

Выберите раскладку клавиатуры.

Нажмите кнопку "Дальше".

Выберите операционную систему и нажмите кнопку "Дальше". Во время выбора операционной системы следует проверить "Использовать инструменты для возобновления, которые могут помочь решить проблемы с запуском Windows".

На экране "Параметры возобновления системы" нажмите кнопку "Командная строка" на экране "Параметры возобновления системы Windows 7"

Когда командная строка успешно загружается, введите команду:

bootrec /fixmbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу "Enter" и перезагрузите компьютер.



Для Windows 8:


image_EG4RdGqgyi.png


Загрузите Windows 8.

На экране "Приветствия" нажмите кнопку "Возобновить компьютер".

Windows 8 возобновит компьютерное меню.

Выберите "Устранение неисправностей".

Выберите командную строку.

Когда загружается командная строка, введите такие команды:

bootrec /FixMbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу "Enter" и перезагрузите компьютер.



Для Windows 10:


image_lWFvxBhbfb.png


Загрузите Windows 10.

На экране приветствия нажмите кнопку "Возобновить компьютер"

Выберите "Устранение неисправностей"

Выберите командную строку.

Когда загружается командная строка, введите команду:

bootrec /FixMbr

Подождите, пока операция закончится. Если все было успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу "Enter" и перезагрузите компьютер

- после процедуры возобновления MBR, нужно проверить диск антивирусными программами на наличие файлов из трояном.

Указанные действия также актуальны, если процесс шифровки был начат, но не закончен и пользователь отключил от питания на начальных процессах шифровки. В данном случае, после загрузки ОС, надо воспользоваться программным обеспечением по возобновлению файлов (например, RStudio), после чего скопировать их на внешний носитель и переустановить систему.

В дополнение: если Вы используете программы возобновления данных, которые записывают свой загрузочный сектор (например, Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.


Следует заметить, что на кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакая информация не передавалась.



AlfaSystems GoPro GP261D21