Инструкцию по восстановление доступа к операционной системе, которая была частично поражена модифицированной троянской программой «Petya» подготовила украинская Киберполиция.

Как восстановить систему после атаки вируса Petya

Инструкцию по восстановление доступа к операционной системе, которая была частично поражена модифицированной троянской программой «Petya» подготовила украинская Киберполиция.

В процессе исследования вируса и его вредного воздействие на компьютеры пользователей, выявлено несколько вариантов его вмешательства (в случае предоставления вирусу права администратора при его запуске):

  1. Компьютеры заражены и зашифрованы (система полностью скомпрометирована). Восстановление требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
  2. Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования.
  3. Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

Как рассказывают полицейские, что касается первого сценария — в настоящее время пока нет способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГСССЗИ, украинских и международных ИТ компаний.

В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится на компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать.

Ниже приведены рекомендации о возобновлении доступа к пораженной вирусом ОС (при условии, что процесс шифрования был запущен, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования или же процесс шифрования еще не начался из-за факторов, которые не зависели от пользователя (например, сбой в работе вируса, реакция антивирусного ПО и т.д.).

Первые шаги:

— загрузить систему с установочного диска Windows вашего ПК;

— после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно приступить к процессу восстановления MBR;

— провести процедуру восстановления MBR (как это делать смотрите ниже);

Для Windows XР:

После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP», содержащая меню выбора. Потом необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить]. Нажмите R.

Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

«1: C: WINDOWS В какую копию Windows следует выполнить вход?»

Нажмите 1, потом — Enter. Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу Enter (если пароля нет, просто нажмите Enter).

Должно появиться приглашение системы: C:WINDOWS>, введите fixmbr

Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ». «Подтверждаете запись новой MBR?». Нажмите клавишу «y».

Появится сообщение: «Проводится новая основная загрузочная запись на физический диск Device Harddisk0 Partition0». «Новая основная загрузочная запись успешно сделана». 

Для Windows Vista:

Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее». Когда появится окно «Параметры восстановления системы», нажмите на командную строку.

Когда появится командная строка, введите эту команду: bootrec/FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 7:

Загрузите Windows 7. Выберите язык. Выберите раскладку клавиатуры. Нажмите кнопку «Далее». Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7».

Когда командная строку успешно загружается, введите команду:

bootrec/fixmbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 8:

Загрузите Windows 8. На экране «Приветствие» нажмите кнопку «Восстановить компьютер». Windows 8 восстановит компьютерное меню. Выберите «Устранение неисправностей»

Выберите командную строку. Когда загружается командная строка, введите следующие команды:

bootrec/FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 10:

Загрузите Windows 10. На экране приветствия нажмите кнопку «Восстановить компьютер». Выберите «Устранение неисправностей». Выберите командную строку.

Когда загружается командную строку, введите команду:

bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.

Нажмите клавишу «Enter» и перезагрузите компьютер.

После указанных процедур

После процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.

Указанные действия также актуальны, если процесс шифрования было начато, но не закончено и пользователь отключил ПК от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, надо воспользоваться программным обеспечением по восстановлению файлов (пот типу RStudio), после чего скопировать их на внешний носитель и переустановить систему.

В дополнение: если вы используете программы восстановления данных, которые записывают свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.

Опубликовано на minfin.com.ua 3 июля 2017, 19:31 Источник: Минфин
Следить за новыми комментариями

Комментарии (1)

+
0
Vadim
Vadim
4 июля 2017, 13:57
Вадим, Киев
#
Рекомендации cert.gov.ua/?p=2647

Написать комментарий

Чтобы оставить комментарий, нужно войти или зарегистрироваться