Департамент киберполиции Национальной полиции Украины опубликовал рекомендации по восстановлению доступа к компьютерам, которые были поражены в результате недавней кибератаки вируса-шифровальщика Petya.A.
В процессе детального изучения вредоносного ПО исследователями было установлено три основных сценария его воздействия (при запуске от имени администратора):
Система скомпрометирована полностью. Для восстановления данных требуется закрытый ключ, а на экране при запуске отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки.
Компьютеры заражены, частично зашифрованы, система начала процесс шифрования, но внешние факторы (отключение питания и т.д.) прекратили процесс шифрования.
Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Восстановление доступа возможно только в последних двух случаях, тогда как действенного способа восстановления полностью скомпрометированных систем пока, к сожалению, нет. Его поиском сейчас активно занимаются специалисты Департамента киберполиции, СБУ, Госспецсвязи Украины, отечественных и международных IT-компаний.
Исследователи выделили два основных этапа работы модифицированной троянской программы «Petya»:
Первый: получение привилегированных прав (прав администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем подменяет вышеуказанный сектор модифицированным загрузчиком, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.
Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором содержится отметка, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.
Если при загрузке с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процедуре восстановления загрузочного сектора MBR. Она осуществляется следующим образом:
Для ОС Windows XР:
После загрузки установочного диска Windows XP в оперативную память ПК появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить]. Нажмите «R».
Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»
Введите клавишу «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должен появиться запрос: C: \ WINDOWS> введите fixmbr
Затем появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?», Нажмите клавишу «Y».
Появится сообщение: «Создается новый основной загрузочной сектор на физический диск \ Device \ Harddisk0 \ Partition0.»
«Новый основной загрузочный сектор успешно создан».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее».
Когда появится окно «Параметры восстановления системы», нажмите на командную строку.
Когда появится командная строка, введите эту команду:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 7
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Нажмите кнопку «Далее».
Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7»
Когда командная строка успешно загрузится, введите команду:
bootrec / fixmbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 8
Загрузите Windows 8.
На экране «Приветствие» нажмите кнопку «Восстановить компьютер».
Выберите «Устранение неисправностей».
Выберите командную строку..
Когда загрузится командная строка, введите следующие команды:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 10
Загрузите Windows 10.
На экране приветствия нажмите кнопку «Восстановить компьютер»
Выберите «Устранение неисправностей»
Выберите командную строку.
Когда загрузится командная строка, введите команду:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
После процедуры восстановления MBR исследователи рекомендуют обязательно проверить диск антивирусными программами на наличие зараженных файлов. Также отмечается, что кроме регистрационных данных, указанных пользователями «M.E.doc», никакой другой информации не передавалось.
Источник: Киберполиция Украины
- 27 июня 2017 года началась масштабная кибератака на украинские ПК, вирус-шифровальщик Petya.A шифровал данные, требуя выкуп в размере $300. Позже вирус распространился и на другие страны, а также было установлено позже, даже после оплаты выкупа пользователи не могли расшифровывать данные, так как данная версия вируса изначально была направлена на уничтожение данных, а не получение материальной выгоды авторами.
- В качестве основных путей распространения вируса-шифровальщика был назван фишинг (зараженные файлы присылали по электронной почте), а также украинская программа для отчетности и документооборота «M.E.doc».
- По данным ESET, на Украину пришлось большинство случаев заражения вирусом-шифровальщиком Petya – 75%.
- На фоне новостей о поражении систем различных украинских компаний государственного сектора вирусом Petya ПриватБанк бесплатно предложил государству собственную корпоративную операционную систему PrivatLinux, защищенную от кибератак.