У процесі вивчення вірусу-шифрувальника Petya.A дослідники встановили кілька варіантів впливу шкідливого ПО (при запуску вірусу з правами адміністратора):
Система повністю скомпрометована. Для відновлення даних потрібно закритий ключ, а на екрані відображається вікно з повідомленням про вимогу сплати викупу для отримання ключа для розшифровки даних.
Комп'ютери заражені, частково зашифровані. Система почала процес шифрування, але зовнішні фактори (напр. Відключення живлення і т.д.) припинили процес шифрування.
Комп'ютери заражені, але при цьому процес шифрування таблиці MFT ще не почався.
Що стосується першого варіанту - на жаль, в даний час поки не встановлено способу, який гарантовано проводить розшифровку даних. Вирішенням цього питання активно займаються фахівці Департаменту кіберполіції, СБУ, ДССТЗІ, українських та міжнародних ІТ-компаній.
У той же час, в двох останніх випадках є шанс відновити інформацію, яка знаходиться на комп'ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, комп'ютер запуститься і буде працювати.
Таким чином модифікована троянська програма «Petya» працює в кілька етапів:
Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектора, інша частина коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.
Чому так? Тому що описане вище - це лише підготовка до шифрування диска і воно почнеться тільки після перезапуску системи.
Другий: після перезавантаження настає друга фаза роботи вірусу - шифрування даних, він звертається вже до свого конфігураційному сектору, в якому встановлений прапор, що дані ще не зашифровані і їх потрібно зашифрувати. Після цього починається процес шифрування, який має вигляд роботи програми Check Disk.
Далі наведені рекомендації, про відновлення доступу до ураженої вірусом операційній системі, за умови, що:
• Процес шифрування був запущений, але зовнішні фактори (напр. Відключення живлення і т.д.) припинили процес шифрування;
• Процес шифрування таблиці MFT ще не почався через фактори, які не залежали від користувача (збій в роботі вірусу, реакція антивірусного ПО на дії вірусу і т.д.).
Рекомендується провести наступні дії для перевірки та відновлення зашифрованої інформації:
• Завантажитися з інсталяційного диска Windows;
• Якщо після завантаження з інсталяційного диска Windows буде видно таблиця з розділами жорсткого диска, то можна приступити до процесу відновлення MBR;
Після завантаження інсталяційного диска Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно «Установка Windows XP Professional», що містить меню вибору, необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». [R = Відновити]. Натисніть кнопку «R».
Завантажиться консоль відновлення.
Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:
«1: C: \ WINDOWS У яку копію Windows слід виконати вхід?»
Введіть клавішу «1», натисніть клавішу «Enter».
З'явиться повідомлення: «Введіть пароль адміністратора». Введіть пароль, натисніть клавішу «Enter» (якщо пароля немає, просто натисніть «Enter»).
Повинен з'явитися запит системи: C: \ WINDOWS> введіть fixmbr
Потім з'явиться повідомлення: «ПОПЕРЕДЖЕННЯ».
«Чи підтверджуєте запис нової MBR?». Натисніть кнопку «Y».
З'явиться повідомлення: «Створюється новий головний завантажувальний сектор на фізичний диск \ Device \ Harddisk0 \ Partition0.»
«Новий основний завантажувальний сектор успішно створений».
Завантажте Windows Vista. Виберіть мову і розкладку клавіатури. На екрані привітання натисніть «Відновити працездатність комп'ютера». Windows Vista відредагує комп'ютерне меню.
Виберіть операційну систему і натисніть кнопку «Далі».
Коли з'явиться вікно «Параметри відновлення системи», натисніть на командний рядок.
Коли з'явиться командний рядок, введіть команду:
Зачекайте, поки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 7.
Виберіть розкладку клавіатури.
Натисніть кнопку "Далі".
Виберіть операційну систему і натисніть кнопку «Далі». При виборі операційної системи слід перевірити «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми з запуском Windows».
На екрані «Параметри відновлення системи» натисніть кнопку «Командний рядок» на екрані «Параметри відновлення системи Windows 7»
Коли командний рядок успішно завантажиться, введіть команду:
Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 8.
На екрані «Привітання» натисніть кнопку «Відновити комп'ютер»
Windows 8 відновить комп'ютерне меню
Виберіть «Усунення несправностей»
Виберіть командний рядок.
Коли завантажиться командний рядок, введіть наступні команди:
Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 10.
На екрані привітання натисніть кнопку «Відновити комп'ютер»
Виберіть «Усунення несправностей»
Виберіть командний рядок.
Коли завантажується командний рядок, введіть команду:
Зачекайте, поки операція завершиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Після процедури відновлення MBR, дослідники рекомендують перевірити диск антивірусними програмами на наявність заражених файлів.
Фахівці кіберполіції відзначають, що зазначені дії також актуальні, якщо процес шифрування було розпочато, але перерваний користувачем шляхом відключення живлення комп'ютера на початковому процесі шифрування. В даному випадку, після завантаження ОС, можна скористатися програмним забезпеченням по відновленню файлів (на кшталт RStudio), після чого скопіювати їх на зовнішній носій і перевстановити систему.
Також відзначається що в разі використання програм відновлення даних, які записують свій завантажувальний сектор (на кшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.
У кіберполіції повідомили, що крім реєстраційних даних, які вказувалися користувачами програми «M.E.doc», ніякої інформації не передавалося.
[Всього голосів: 1 Середній: 3/5]