Як відновити доступ до ПК після атаки вірусом Petya: покрокова інструкція

 

Відновлення доступу до операційної системи, яка була частково уражена модифікованою троянською програмою "Petya".

У процесі дослідження вірусу Petya та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора):

Комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
Комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Що стосується першого сценарію (варіанту) – нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Таким чином модифікована троянська програма Petya працює в кілька етапів:

Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Чому так? Тому, що описане вище – це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи, за умов, якщо:

процес шифрування було запущено, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування;

процес шифрування таблиці MFT ще не розпочався через фактори, які не залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо).

Рекомендуємо провести наступні дії для перевірки та відновлення зашифрованої інформації:

– завантажитись з інсталяційного диску Windows Вашого ПК;

– після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

– провести процедури відновлення MBR:

Для Windows XР:

Після завантаження інсталяційного диску Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно "Установка Windows XP Professional", що містить меню вибору, необхідно вибрати пункт "щоб відновити Windows XP за допомогою консолі відновлення, натисніть R". [R = Відновити].

Натисніть клавішу "R".

Завантажиться консоль відновлення.

Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:

"1: C: WINDOWS У яку копію Windows слід виконати вхід?"

Введіть клавішу "1", натисніть клавішу "Enter".

З'явиться повідомлення: "Введіть пароль адміністратора". Введіть пароль, натисніть клавішу "Enter" (якщо пароля немає, просто натисніть "Enter").

Повинно з'явитись запрошення системи: C: WINDOWS> , введіть fixmbr

З'явиться повідомлення: "ПОПЕРЕДЖЕННЯ".

"Чи підтверджуєте запис нової MBR?", натисніть клавішу "y".

З'явиться повідомлення: "Проводиться новий основний завантажувальний запис на фізичний дискDeviceHarddisk0Partition0."

"Новий основний завантажувальний запис успішно зроблений".

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть "Відновити працездатність комп'ютера". Windows Vista відредагує комп'ютерне меню.

Виберіть операційну систему та натисніть кнопку "Далі".

Коли з'явиться вікно "Параметри відновлення системи", натисніть на командний рядок.

Коли з'явиться командний рядок, введіть цю команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 7

Завантажте Windows 7.

Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку "Далі".

Виберіть операційну систему та натисніть кнопку "Далі". Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7".

Коли командний рядок успішно завантажується, введіть команду:

bootrec /fixmbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані "Вітання" натисніть кнопку "Відновити комп'ютер";

Windows 8 відновить комп'ютерне меню;

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть такі команди:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter"і перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку "Відновити комп'ютер";

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

– після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.

Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "MEdoc", ніякої інформації не передавалось.

 

Блог Медіа


03.07.2017 1182 0
Коментарі (0)

10.05.2022
Тетяна Дармограй

Чимало українців, які наразі у відносній безпеці, відчувають провину, що можуть жити звичним життям. Зокрема, у них нерідко виникає так званий «синдром вцілілого».

968
28.04.2022
Тетяна Дармограй

Фіртка поспілкувалась з психологинею Оленою Коструб про те, як упоратися з втратою близької людини, як підтримати того, хто переживає втрату та чого робити не потрібно.    

1979
19.04.2022
Алла Павлуцька

Що таке війна для психіки, як уникнути конфліктів у команді, якщо ти волонтер? Як волонтерити, щоб не вигоріти передчасно? Як говорити з дітьми про війну та заспокоювати їх? Вправи, які допоможуть під час паніки в укритті та вдома, про синдром “провини вцілілого” та інша корисна інформація від психологині та коуч-менторки.

2851
15.04.2022
Уляна Мокринчук

Фіртка продовжує публікувати історії людей, які особисто пережили жахіття війни та переїхали з місць, які постраждали від воєнних дій, на Івано-Франківщину або перебувають тут транзитом.

3487
08.04.2022
о. Володимир Лукашевський

Війна торкається абсолютно кожного. З чим найчастіше сьогодні люди звертаються до лікаря та як побороти відчуття неспокою, говоримо з терапевтом Клініки св. Луки Лілією Федунців.

3687
07.04.2022
Мар’яна Цимбалюк

Голова Івано-Франківського обласного відділення Асоціації фахівців з нерухомості України розповів про те, що відбувалося з орендою житла на початку війни, чи стабілізувалися ціни, настільки комерційна нерухомість виросла в ціні у зв'язку з релокацією бізнесу і що слід очікувати на ринку нерухомості Прикарпаття найближчим часом.

6878 1

24 лютого Росія оголосила про початок так званої «спеціальної військової операції» в Україні. Кожній розважливій людині зрозуміло, що те, що відбувається в Україні, є повномасштабною війною. Однак, це не класична конвенційна війна (масові звірячі злочини проти мирного населення це підтверджують), в якій збройні сили однієї держави у відкритій конфронтації за нормами міжнародного права протистоять військовим силам іншої.

3871

Сьогодні кожен українець незалежно від своїх політичних, релігійних чи інших поглядів є солдатом української армії, що захищає свою країну від російсько-білоруських окупантів.

5686

Російський ліберал не може відчувати емпатію до українського народу, до його трагедії. Для нього душевні терзання російського мародера і вбивці куди важливіші і, головне, ближчі. Це таке осмислення власної нікчемності.

6824 1

Раз на рік Президент США звертається до країни з трибуни у Конгресі. State of the Union. Своєрідний звіт про стан речей в країні. Перші 20 хв (з 60) були про Україну. Овації стоячи кожну хвилину. Майже всі з українськими прапорцями.  

7640
18.04.2022

Аби уникнути харчових отруєнь чи гострих кишкових інфекцій, спеціалісти Головного управління Держпродспоживслужби в Івано-Франківській області рекомендують дотримуватись основних правил.

2477
28.03.2022

Вже незабаром в Івано-Франківську запрацюють анонсовані владою соціальні ринки. Тут всі охочі зможуть придбати продукти за нижчою, аніж у магазинах, ціною.

4742
25.03.2022

Харчуватися тут можуть як евакуйовані українці, так і місцеві мешканці громади.

5127
09.05.2022

Кожен охочий мав змогу доєднатися до молитви через трансляцію на інтернет-ресурсах Івано-Франківської Архієпархії УГКЦ та Архікатедрального собору.  

494
04.05.2022

Розмова між предстоятелями церков відбулась через відеозв'язок Zoom і тривала близько 40 хвилин. Патріарх Кирило під час розмови з протягом 20 хвилин, "читаючи з папірця", намагався переконати Папу Римського в доцільності війни росії проти України. 

958
25.04.2022

Православні християни вшановують пам'ять преподобного Василя Сповідника, єпископа Парійського. Наші пращури у молитвах до святого просили про надання сили та хоробрості, а також про позбавлення від хвороб. Що не можна і що  слід робити в цей день.

1828
07.04.2022

Християни східного обряду 7 квітня відзначають Благовіщення Пресвятої Богородиці – третє за значенням свято після Різдва та Великодня. Згідно віруваннями цього дня Діві Марії явився Архангел Гавриїл, який повідомив її про те, що вона стане матір'ю Ісуса Христа.  

3411
08.05.2022

Схиляємось перед матерями та батьками, які виростили мужніх патріотів, перед дітьми, які втратили батьків...

936
25.04.2022

У Франції офіційно оголосили переможця президентських виборів, другий тур яких відбувся у неділю 24 квітня.

1803
07.04.2022

Нагадаємо, що попри те, що ЗСУ фіксують численні обстріли українських земель, що ведуться з території Білорусії; дислокацію на білоруських землях російських окупантів, котрі вбивають, гвалтують та грабують цивільне населення в Україні Лукашенко цинічно заявляє, що Білорусь не є учасником війни.  

3707
05.04.2022

Метою законопроєкту є встановлення кримінальної відповідальності за пропаганду символіки військової агресії рф проти України та за порушення законів і звичаїв війни в частині використання військовими формуваннями держави-агресора цивільного населення окупованих територій в якості «живого щита».

3931 9
20.03.2022

За словами Володимира Зеленського, РНБО прийняла рішення призупинити будь-яку діяльність на території України низки партій, які мають зв’язки з росією.

5466