После атаки вируса Petya: в Киберполиции рассказали, как возобновить доступ

27 июня на украинские предприятия напал вирус Petya A (или Not Petya, как его окрестили IT специалисты). Пик атаки уже прошел, однако ее отголоски ощущаются до сих пор.

Информатор предлагает ознакомиться с рекомендациями Киберполиции Украины по поводу возобновления доступа к компьютеру.

В процессе исследования вируса полицейские обнаружили несколько сценариев его вмешательства в работу компютерных систем:

1. Компьютеры заражены и зашифрованы (система полностью скомпрометирована). Восстановление содержания требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требованиях уплаты средств для получения ключа разблокировки файлов.
2. Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (например выключение питания) прекратили процесс.
3.  Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

При первом сценарии почти ничего сделать нельзя. Можно попытаться восстановить файлы способами, которые мы описывали ранее. В двух других случаях есть шанс восстановить доступ и вернуть зашифрованную информацию.

Этапы работы троянской программы Petya

Первый этап: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора. Остальные коды трояна записываются в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.

Описанное выше - это лишь подготовка к шифрованию диска, и оно начнется только после перезапуска системы.

Второй этап: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать. Начинается процесс шифрования, который имеет вид работы программы Check Disk.

Как проверить и восстановить зашифрованную информацию

• Загрузиться с установочного диска Windows вашего ПК;

• после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно приступать к процессу восстановления MBR;

• провести процедуры восстановления MBR:

Для Windows XР:

После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional", содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить].

Загрузится консоль восстановления.

Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:

«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»

Введите клавишу «1», нажмите клавишу «Enter».

Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).

Должно появиться приглашение системы: C: \ WINDOWS> введите fixmbr.

Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».

«Подтверждаете запись новой MBR?», Нажмите клавишу «y».

Появится сообщение: «Проводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0.»

«Новая основная загрузочная запись успешно сделана».

Для Windows Vista:

Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее». Когда появится окно «Параметры восстановления системы», нажмите на командную строку.

Когда появится командная строка, введите эту команду: bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 7

Загрузите Windows 7. Выберите язык. Выберите раскладку клавиатуры. Нажмите кнопку «Далее».

Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить "Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

На экране "Параметры восстановления системы" нажмите кнопку "Командная строка" на экране "Параметры восстановления системы Windows 7".

Когда командную строку успешно загружается, введите команду: bootrec / fixmbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 10

Загрузите Windows 10. На экране приветствия нажмите кнопку «Восстановить компьютер». Выберите "Устранение неисправностей". Выберите командную строку.

Когда загрузится командная строка, введите команду: bootrec / FixMbr

Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.

После процедуры восстановления MBR нужно проверить диск антивирусными программами на наличие файлов с трояном.

Кристина Лях