13.00.18
Як повернути доступ до комп'ютера після атаки вірусу Petya: поради від кіберполіції України
      Департамент кіберполіції Національної поліції України опублікував рекомендації по відновленню доступу до комп'ютерів, які були вражені в результаті недавньої кібератаки вірусу-шифрувальника Petya.A.

В процесі детального вивчення шкідливого ПО дослідниками було встановлено три основні сценарії його впливу (при запуску від імені адміністратора):

Система скомпрометована повністю. Для відновлення даних потрібно закритий ключ, а на екрані при запуску відображається вікно з повідомленням про вимогу сплати викупу для отримання ключа для розшифровки.

Комп'ютери заражені, частково зашифровані, система почала процес шифрування, але зовнішні фактори (відключення живлення і т.д.) припинили процес шифрування.

Комп'ютери заражені, але при цьому процес шифрування таблиці MFT ще не почався.

Відновлення доступу можливо тільки в останніх двох випадках, тоді як дієвого способу відновлення повністю скомпрометованих систем поки, на жаль, немає. Його пошуком зараз активно займаються фахівці Департаменту кіберполіції, СБУ, Держспецзв'язку України, вітчизняних та міжнародних IT-компаній.

Дослідники виділи два основних етапи роботи модифікованої троянської програми «Petya»:

Перший: отримання привілейованих прав (прав адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім підмінює вищевказаний сектор модифікованим загрузчиком, інша частина коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Другий: після перезавантаження настає друга фаза роботи вірусу - шифрування даних, він звертається вже до свого конфігураційного сектора, в якому міститься позначка, що дані ще не зашифровані і їх потрібно зашифрувати. Після цього починається процес шифрування, який має вигляд роботи програми Check Disk.
 
Якщо при завантаженні з інсталяційного диска Windows буде видно таблиця з розділами жорсткого диска, то можна приступити до процедури відновлення завантажувального сектора MBR. Вона здійснюється наступним чином:

Для ОС Windows XР:

Після завантаження інсталяційного диска Windows XP в оперативну пам'ять ПК з'явиться діалогове вікно «Установка Windows XP Professional», що містить меню вибору, необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». [R = Відновити]. Натисніть «R».

Завантажиться консоль відновлення.

Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:

«1: C: \ WINDOWS У яку копію Windows слід виконати вхід?»

Введіть клавішу «1», натисніть клавішу «Enter».

З'явиться повідомлення: «Введіть пароль адміністратора». Введіть пароль, натисніть клавішу «Enter» (якщо пароля немає, просто натисніть «Enter»).

Повинен з'явитися запит: C: \ WINDOWS> введіть fixmbr

Потім з'явиться повідомлення: «ПОПЕРЕДЖЕННЯ».

«Чи підтверджуєте запис нової MBR?», Натисніть кнопку «Y».

З'явиться повідомлення: «Створюється новий головний завантажувальний сектор на фізичний диск \ Device \ Harddisk0 \ Partition0.»

«Новий основний завантажувальний сектор успішно створений».

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову і розкладку клавіатури. На екрані привітання натисніть «Відновити працездатність комп'ютера». Windows Vista відредагує комп'ютерне меню.

Виберіть операційну систему і натисніть кнопку «Далі».

Коли з'явиться вікно «Параметри відновлення системи», натисніть на командний рядок.

Коли з'явиться командний рядок, введіть цю команду:

bootrec / FixMbr

Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть кнопку «Enter» і перезавантажте комп'ютер.

Для Windows 7

Завантажте Windows 7.


Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку "Далі".

Виберіть операційну систему і натисніть кнопку «Далі». При виборі операційної системи слід перевірити «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми з запуском Windows».

На екрані «Параметри відновлення системи» натисніть кнопку «Командний рядок» на екрані «Параметри відновлення системи Windows 7»

Коли командний рядок успішно завантажується, введіть команду:

bootrec / fixmbr

Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть кнопку «Enter» і перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані «Привітання» натисніть кнопку «Відновити комп'ютер»

Windows 8 відновить комп'ютерне меню

Виберіть «Усунення несправностей»

Виберіть командний рядок.

Коли завантажується командний рядок, введіть наступні команди:

bootrec / FixMbr

Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть кнопку «Enter» і перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку «Відновити комп'ютер»

Виберіть «Усунення несправностей»

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec / FixMbr

Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть кнопку «Enter» і перезавантажте комп'ютер.

Після процедури відновлення MBR дослідники рекомендують обов'язково перевірити диск антивірусними програмами на наявність заражених файлів. Також зазначається, що крім реєстраційних даних, зазначених користувачами «M.E.doc», ніякої іншої інформації не передавалася.

Джерело: кіберполіції України​​​​​​​
Переглядів: 312 | Додав: dvi | Рейтинг: 0.0/0
Всього коментарів: 0
der="0" width="100%" cellspacing="1" cellpadding="2" class="commTable">
Ім'я *:Email:WWW:
Код *:
close