În procesul de studiere a virusului-encryptor Petya.A cercetători au stabilit mai multe opțiuni pentru impactul software-ului rău intenționat (când virusul este lansat cu drepturi de administrator):
Sistemul este complet compromis. Pentru a restaura datele, este necesară o cheie privată și o fereastră cu o cerere de rambursare este afișată pe ecran pentru a obține o cheie pentru decriptarea datelor.
Computerele sunt infectate, parțial criptate. Sistemul a declanșat procesul de criptare, dar factorii externi (de exemplu, oprirea alimentării etc.) au oprit procesul de criptare.
Computerele sunt infectate, dar procesul de criptare a tabelului MFT nu a început încă.
În ceea ce privește prima opțiune - din păcate, în prezent nu există o metodă stabilită care să garanteze că va decripta datele. Decizia din această problemă este angajată în mod activ în specialiștii Departamentului de Poliție Cyber, SBU, DSTSZI, companii ucrainene și internaționale de IT.
În același timp, în ultimele două cazuri, are o șansă de a recupera informațiile care se află pe computer, deoarece aspectul de masă MFT nu este rupt sau o parte rupt, ceea ce înseamnă că, prin restabilirea sistemului MBR sectorul de boot, computerul va porni și rula.
Astfel, programul troian modificat "Petya" funcționează în mai multe etape:
În primul rând: obținerea drepturilor privilegiate (drepturi de administrator). Pe multe computere din arhitectura Windows (Active Directory), aceste drepturi sunt dezactivate. Virusul își păstrează sectorul de boot original al sistemului de operare (MBR) este criptat operațiune de biți XOR (xor 0x7), și apoi scrie un încărcător de boot pentru a plasa sectorul menționat mai sus, restul codului troian este scris în primul sector al discului. În acest stadiu, este creat un fișier text despre criptare, dar, de fapt, datele nu sunt încă criptate.
De ce este așa? Deoarece cele de mai sus este doar o pregătire pentru criptarea discului și va începe numai după ce sistemul este repornit.
În al doilea rând, după o repornire, urmată de o a doua fază a virusului de lucru - criptarea datelor, el se întoarce la deja sectorul său de configurare, în care un steguleț, că datele nu este încă criptat și doriți să criptați. După aceasta, începe procesul de criptare, care arată ca funcționarea programului Check Disk.
Următoarele sunt recomandări privind reînnoirea accesului la sistemul de operare infectat, cu condiția ca:
• Procesul de criptare a fost pornit, însă factorii externi (de exemplu, oprirea alimentării etc.) au oprit procesul de criptare;
• Procesul de criptare a tabelului MFT nu a început încă datorită unor factori care nu depind de utilizator (un accident de virus, răspunsul software-ului antivirus la acțiuni de virus etc.).
Se recomandă efectuarea următoarelor acțiuni pentru verificarea și restaurarea informațiilor criptate:
• Încărcați de pe discul de instalare Windows;
• Dacă vedeți un tabel cu partiții de hard disk după pornire de pe discul de instalare Windows, puteți porni procesul de recuperare a MBR;
După ce discul de instalare Windows XP este încărcat în memoria RAM a calculatorului, apare fereastra de dialog "Windows XP Professional Installation" care conține meniul de selecție, trebuie să selectați "Pentru a restabili Windows XP utilizând Consola de recuperare, apăsați R". [R = Restaurare]. Apăsați tasta "R".
Se încarcă consola de recuperare.
Dacă este instalat un sistem de operare pe PC și este instalat (în mod implicit) pe unitatea C, va apărea următorul mesaj:
"1: C: \ WINDOWS La ce copie de Windows trebuie să mă înregistrez?"
Introduceți tasta "1", apăsați tasta "Enter".
Veți vedea mesajul: "Introduceți parola de administrator". Introduceți parola, apăsați "Enter" (dacă nu există nici o parolă, apăsați "Enter").
Cererea de sistem ar trebui să apară: C: \ WINDOWS> type fixmbr
Apoi apare mesajul "AVERTISMENT".
"Confirmați înregistrarea noului MBR?". Apăsați tasta "Y".
Mesajul: "Se creează un nou sector de boot principal pe discul fizic \ Device \ Harddisk0 \ Partition0".
"Noul sector de boot principal a fost creat cu succes".
Descărcați Windows Vista. Selectați limba și aspectul tastaturii. În ecranul de întâmpinare, faceți clic pe Restaurare computer. Windows Vista va edita meniul computerului.
Selectați sistemul de operare și faceți clic pe Următorul.
Când apare fereastra "Opțiuni de restabilire a sistemului", faceți clic pe linia de comandă.
Când apare promptul de comandă, introduceți comanda:
Așteptați până când operația este finalizată. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.
Apăsați Enter și reporniți computerul.
Descărcați Windows 7.
Selectați aspectul tastaturii.
Faceți clic pe butonul "Următorul".
Selectați sistemul de operare și faceți clic pe Următorul. Atunci când alegeți un sistem de operare, trebuie să bifați "Utilizați instrumentele de recuperare care pot ajuta la rezolvarea problemelor cu pornirea Windows".
În ecranul "Opțiuni de restabilire a sistemului", faceți clic pe butonul "Command Prompt" din ecranul "Opțiuni de restaurare sistem Windows 7"
Atunci când linia de comandă se încarcă cu succes, introduceți comanda:
Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.
Apăsați Enter și reporniți computerul.
Descărcați Windows 8.
În ecranul de întâmpinare, faceți clic pe butonul Restaurare computer
Windows 8 va restaura meniul computerului
Alegeți "Depanarea"
Selectați linia de comandă.
Când se încarcă linia de comandă, tastați următoarele comenzi:
Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.
Apăsați Enter și reporniți computerul.
Descărcați Windows 10.
În ecranul de întâmpinare, faceți clic pe butonul Restaurare computer
Alegeți "Depanarea"
Selectați linia de comandă.
După încărcarea liniei de comandă, lansați comanda:
Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.
Apăsați Enter și reporniți computerul.
După procedura de recuperare a MBR, cercetătorii recomandă verificarea discului pentru programele antivirus pentru fișierele infectate.
Specialiștii în cyberpolicy notează că aceste acțiuni sunt relevante și în cazul în care procesul de criptare a fost pornit, dar a fost întrerupt de utilizator oprindu-se puterea calculatorului în timpul procesului inițial de criptare. În acest caz, după ce sistemul de operare a pornit, puteți utiliza software-ul de recuperare a fișierelor (cum ar fi RStudio), apoi le copiați pe un suport extern și reinstalați sistemul.
De asemenea, este de remarcat faptul că, în cazul utilizării programelor de recuperare a datelor care scriu sectorul de boot (cum ar fi Acronis True Image), virusul nu atinge această secțiune și este posibil să readucă starea de funcționare a sistemului la data punctului de control.
În cyberpolicy, sa raportat că, pe lângă datele de înregistrare, care au fost indicate de utilizatorii programului M.E.doc, nu au fost transmise informații.
[Total Voturi: 1 Media: 3/5]
Articole similare
Trimiteți-le prietenilor: