Cách khôi phục dữ liệu sau khi bị virus Petya tấn công (hướng dẫn từng bước). SBU hướng dẫn cách chữa máy tính khỏi virus Petya

Cuộc tấn công của virus Petya.A đã bao phủ hàng chục quốc gia trong vài ngày và phát triển đến mức lan rộng ở Ukraine, nơi chương trình quản lý tài liệu và báo cáo M.E.Doc có liên quan đến việc phát tán phần mềm độc hại. Sau đó, các chuyên gia cho biết mục tiêu của kẻ tấn công là phá hủy hoàn toàn dữ liệu, nhưng theo cảnh sát mạng Ukraine, nếu hệ thống bị nhiễm một phần thì vẫn có cơ hội khôi phục các tập tin.

Cách thức hoạt động của Petya

Nếu vi-rút giành được quyền quản trị viên, các nhà nghiên cứu sẽ xác định ba tình huống chính về tác động của nó:

Máy tính bị nhiễm virus và bị mã hóa, hệ thống bị xâm phạm hoàn toàn. Để khôi phục dữ liệu, cần có khóa riêng và thông báo hiển thị trên màn hình yêu cầu thanh toán tiền chuộc (mặc dù đúng như vậy).
Máy tính bị nhiễm virus và bị mã hóa một phần - hệ thống bắt đầu mã hóa các tập tin, nhưng người dùng đã dừng quá trình này bằng cách tắt nguồn hoặc các phương tiện khác.
Máy tính bị nhiễm virus nhưng quá trình mã hóa bảng MFT vẫn chưa bắt đầu.

Trong trường hợp đầu tiên, chưa có cách nào hiệu quả để giải mã dữ liệu. Hiện các chuyên gia từ cảnh sát mạng và các công ty CNTT đang tìm kiếm anh ta, cũng như người tạo ra virus Petya ban đầu(cho phép bạn khôi phục hệ thống bằng phím). Nếu bảng tệp MFT chính bị ảnh hưởng một phần hoặc hoàn toàn không bị ảnh hưởng thì vẫn có cơ hội giành được quyền truy cập vào các tệp.

Cảnh sát mạng đã nêu tên hai giai đoạn chính của virus Petya đã được sửa đổi:

Đầu tiên: có được quyền quản trị viên đặc quyền (chúng bị vô hiệu hóa khi sử dụng Active Directory). Đầu tiên, vi-rút lưu khu vực khởi động ban đầu cho hệ điều hành MBR ở dạng mã hóa của hoạt động bit XOR (xor 0x7), sau đó ghi bộ tải khởi động của chính nó vào vị trí của nó. Phần còn lại của mã Trojan được ghi vào các khu vực đầu tiên của đĩa. Lúc này, một file văn bản về mã hóa được tạo ra nhưng dữ liệu vẫn chưa được mã hóa.

Giai đoạn thứ hai của quá trình mã hóa dữ liệu bắt đầu sau khi hệ thống được khởi động lại. Petya hiện truy cập vào khu vực cấu hình của riêng mình, nơi chứa dấu hiệu về dữ liệu không được mã hóa. Sau đó, quá trình mã hóa bắt đầu và màn hình hiển thị cách chương trình Check Disk đang chạy. Nếu nó đang chạy, bạn nên tắt nguồn và thử sử dụng phương pháp khôi phục dữ liệu được đề xuất.

Họ cung cấp những gì?

Đầu tiên bạn cần khởi động từ đĩa cài đặt Windows. Nếu hiển thị bảng có các phân vùng đĩa cứng (hoặc SSD), bạn có thể bắt đầu quy trình khôi phục khu vực khởi động MBR. Sau đó, bạn nên kiểm tra đĩa xem có tập tin bị nhiễm virus không. Ngày nay Petya được tất cả các phần mềm chống vi-rút phổ biến công nhận.

Nếu quá trình mã hóa đã được bắt đầu nhưng người dùng cố gắng làm gián đoạn nó, thì sau khi tải hệ điều hành, bạn phải sử dụng phần mềm để khôi phục các tệp được mã hóa (R-Studio và các phần mềm khác). Dữ liệu sẽ cần được lưu vào phương tiện bên ngoài và hệ thống được cài đặt lại.

Cách khôi phục bộ nạp khởi động

Đối với hệ điều hành Windows XP:

Sau khi tải đĩa cài đặt Windows XP vào RAM của PC, hộp thoại “Cài đặt Windows XP Professional” sẽ xuất hiện với menu lựa chọn trong đó bạn cần chọn “để khôi phục Windows XP bằng Recovery Console, nhấn R.” Nhấn phím "R".

Recovery Console sẽ tải.

Nếu PC đã cài đặt một hệ điều hành và nó được cài đặt (theo mặc định) trên ổ C, thông báo sau sẽ xuất hiện:

"1:C:\WINDOWS Tôi nên đăng nhập vào bản sao Windows nào?"

Nhập số “1”, nhấn phím “Enter”.

Một thông báo sẽ xuất hiện: “Nhập mật khẩu quản trị viên của bạn.” Nhập mật khẩu của bạn, nhấn "Enter" (nếu không có mật khẩu, chỉ cần nhấn "Enter").

Bạn sẽ được nhắc: C:\WINDOWS>, nhập fixmbr

Sau đó, thông báo “CẢNH BÁO” sẽ xuất hiện.

“Bạn có đang xác nhận việc nhập MBR mới không?”, nhấn phím “Y”.

Một thông báo sẽ xuất hiện: “Một khu vực khởi động chính mới đang được tạo trên đĩa vật lý \Device\Harddisk0\Partition0.”

"Phân vùng khởi động chính mới đã được tạo thành công."

Đối với Windows Vista:

Tải xuống Windows Vista. Chọn ngôn ngữ và bố trí bàn phím của bạn. Trên màn hình Chào mừng, nhấp vào "Khôi phục máy tính của bạn." Windows Vista sẽ chỉnh sửa menu máy tính.

Chọn hệ điều hành của bạn và nhấp vào Tiếp theo. Khi cửa sổ Tùy chọn khôi phục hệ thống xuất hiện, hãy nhấp vào Dấu nhắc lệnh. Khi dấu nhắc lệnh xuất hiện, hãy nhập lệnh này:

bootrec/FixMbr

Đợi thao tác hoàn tất. Nếu mọi thứ đều ổn, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Đối với Windows 7:

Khởi động vào Windows 7. Chọn ngôn ngữ, bố cục bàn phím và nhấp vào Tiếp theo.

Chọn hệ điều hành của bạn và nhấp vào Tiếp theo. Khi chọn hệ điều hành, bạn nên chọn "Sử dụng các công cụ khôi phục có thể giúp giải quyết sự cố khi khởi động Windows".

Trên màn hình Tùy chọn khôi phục hệ thống, nhấp vào nút Dấu nhắc lệnh. Khi dấu nhắc lệnh khởi động thành công, hãy nhập lệnh:

bootrec/fixmbr

Nhấn phím Enter và khởi động lại máy tính của bạn.

Đối với Windows 8:

Khởi động vào Windows 8. Trên màn hình Chào mừng, nhấp vào nút Sửa chữa PC của bạn.

Chọn Khắc phục sự cố. Chọn dòng lệnh, khi tải xong hãy nhập:

bootrec/FixMbr

Đợi thao tác hoàn tất. Nếu mọi thứ đều ổn, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Nhấn phím Enter và khởi động lại máy tính của bạn.

Đối với Windows 10:

Khởi động vào Windows 10. Trên màn hình Chào mừng, nhấp vào nút “Sửa chữa PC của bạn”, chọn “Khắc phục sự cố”.

Chọn Dấu nhắc lệnh. Khi dấu nhắc lệnh tải, hãy nhập lệnh:

bootrec/FixMbr

Đợi thao tác hoàn tất. Nếu mọi thứ đều ổn, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Nhấn phím Enter và khởi động lại máy tính của bạn.

Một tuần đã trôi qua kể từ khi Petya đặt chân đến Ukraine. Nhìn chung, hơn 50 quốc gia trên thế giới bị ảnh hưởng bởi loại virus mã hóa này, nhưng 75% cuộc tấn công mạng quy mô lớn đều nhắm vào Ukraine. Chính phủ và các tổ chức tài chính trên khắp đất nước bị ảnh hưởng; Ukrenergo và Kyivenergo là những nơi đầu tiên báo cáo rằng hệ thống của họ đã bị tấn công. Để xâm nhập và ngăn chặn, virus Petya.A đã sử dụng chương trình kế toán M.E.Doc. Phần mềm này rất phổ biến ở nhiều tổ chức khác nhau ở Ukraine và đã trở nên nguy hiểm. Kết quả là, đối với một số công ty, phải mất một thời gian dài để khôi phục hệ thống của họ sau virus Petya. Một số chỉ có thể tiếp tục hoạt động vào ngày hôm qua, 6 ngày sau khi xảy ra virus ransomware.

Mục đích của virus Petya

Mục tiêu của hầu hết các virus ransomware là tống tiền. Họ mã hóa thông tin trên PC của nạn nhân và đòi tiền của cô ấy để lấy chìa khóa khôi phục quyền truy cập vào dữ liệu được mã hóa. Nhưng những kẻ lừa đảo không phải lúc nào cũng giữ lời. Một số ransomware đơn giản là không được thiết kế để giải mã và virus Petya là một trong số đó.

Tin buồn này đã được các chuyên gia đến từ Kaspersky Lab đưa ra. Để khôi phục dữ liệu sau khi bị nhiễm vi-rút ransomware, bạn cần có một mã định danh cài đặt vi-rút duy nhất. Nhưng trong trường hợp có một loại vi-rút mới, nó hoàn toàn không tạo ra mã nhận dạng, nghĩa là những người tạo ra phần mềm độc hại thậm chí còn không xem xét tùy chọn khôi phục PC sau vi-rút Petya.

Nhưng cùng lúc đó, các nạn nhân nhận được một tin nhắn trong đó họ nêu tên địa chỉ cần chuyển 300 đô la bitcoin để khôi phục hệ thống. Trong những trường hợp như vậy, các chuyên gia không khuyến nghị hỗ trợ tin tặc, tuy nhiên, những người tạo ra Petya đã kiếm được hơn 10.000 USD trong 2 ngày sau một cuộc tấn công mạng lớn. Nhưng các chuyên gia tin tưởng rằng tống tiền không phải là mục tiêu chính của họ, vì cơ chế này chưa được nghĩ ra kỹ lưỡng, không giống như các cơ chế khác của virus. Từ đó có thể giả định rằng mục tiêu của virus Petya là gây bất ổn cho hoạt động của các doanh nghiệp toàn cầu. Cũng hoàn toàn có khả năng là tin tặc đã vội vàng và không suy nghĩ kỹ về phần kiếm tiền.

Khôi phục PC sau virus Petya

Thật không may, một khi Petya bị nhiễm virus hoàn toàn thì dữ liệu trên máy tính của bạn sẽ không thể khôi phục được. Tuy nhiên, vẫn có cách để mở khóa máy tính sau virus Petya nếu ransomware không có thời gian để mã hóa hoàn toàn dữ liệu. Nó được công bố trên trang web chính thức của Cảnh sát mạng vào ngày 2 tháng 7.

Có ba lựa chọn để lây nhiễm virus Petya

— mọi thông tin trên PC đều được mã hóa hoàn toàn, trên màn hình hiển thị một cửa sổ tống tiền;
- Dữ liệu PC được mã hóa một phần. Quá trình mã hóa bị gián đoạn bởi các yếu tố bên ngoài (bao gồm cả nguồn điện);
— PC bị nhiễm virus nhưng quá trình mã hóa bảng MFT chưa được bắt đầu.

Trong trường hợp đầu tiên, mọi thứ đều tệ - hệ thống không thể được khôi phục. Ít nhất là bây giờ.
Trong hai lựa chọn cuối cùng, tình hình có thể khắc phục được.
Để khôi phục dữ liệu đã bị mã hóa một phần, nên tải xuống đĩa cài đặt Windows:

Nếu ổ cứng không bị vi-rút ransomware làm hỏng, hệ điều hành khởi động sẽ nhìn thấy các tệp và bắt đầu khôi phục MBR:

Đối với mỗi phiên bản Windows, quá trình này có những sắc thái riêng.

Windows XP

Sau khi tải đĩa cài đặt, cửa sổ “Cài đặt chuyên nghiệp Windows XP” xuất hiện trên màn hình, nơi bạn cần chọn “để khôi phục Windows XP bằng bảng điều khiển khôi phục, nhấn R.” Sau khi nhấn R, bảng điều khiển khôi phục sẽ bắt đầu tải.

Nếu các thiết bị được cài đặt một hệ điều hành và nó nằm trên ổ C, một thông báo sẽ xuất hiện:
"1: C:\WINDOWS tôi nên sử dụng bản sao Windows nào để đăng nhập?" Theo đó, bạn cần nhấn phím “1” và “Enter”.
Sau đó sẽ xuất hiện thông báo sau: “Nhập mật khẩu quản trị viên”. Nhập mật khẩu của bạn và nhấn “Enter” (nếu bạn không có mật khẩu, hãy nhấn “Enter”).
Lời nhắc hệ thống sẽ xuất hiện: C:\WINDOWS>, nhập fixmbr.

Sau đó dòng chữ “CẢNH BÁO” sẽ xuất hiện.
Để xác nhận mục nhập MBR mới, nhấn “y”.
Sau đó, thông báo “Bản ghi khởi động chính mới đang được tạo trên đĩa vật lý\Thiết bị\Harddisk0\Partition0."
Và: “Bản ghi khởi động chính mới đã được tạo thành công.”

Windows Vista:

Ở đây tình hình đơn giản hơn. Tải hệ điều hành, chọn ngôn ngữ và bố trí bàn phím. Sau đó, “Khôi phục máy tính của bạn về bình thường” sẽ xuất hiện trên màn hình, trong đó bạn phải chọn “Tiếp theo”. Một cửa sổ sẽ xuất hiện với các tham số của hệ thống được khôi phục, tại đây bạn cần nhấp vào dòng lệnh, trong đó bạn cần nhập bootrec /FixMbr.
Sau đó, bạn cần đợi quá trình hoàn tất; nếu mọi thứ suôn sẻ, một thông báo xác nhận sẽ xuất hiện - nhấn “Enter” và máy tính sẽ bắt đầu khởi động lại. Tất cả.

Windows 7:

Quá trình khôi phục tương tự như Vista. Sau khi chọn ngôn ngữ và bố cục bàn phím, hãy chọn hệ điều hành của bạn, sau đó nhấp vào “Tiếp theo”. Trong cửa sổ mới, chọn “Sử dụng các công cụ khôi phục có thể giúp giải quyết sự cố khi khởi động Windows”.
Tất cả các hành động khác đều tương tự như Vista.

Windows 8 và 10:

Khởi động hệ điều hành, trong cửa sổ xuất hiện, chọn Khôi phục máy tính của bạn>khắc phục sự cố, trong đó bằng cách nhấp vào dòng lệnh, nhập bootrec /FixMbr. Sau khi quá trình hoàn tất, nhấn “Enter” và khởi động lại thiết bị của bạn.

Sau khi quá trình khôi phục MBR hoàn tất thành công (bất kể phiên bản Windows), bạn cần quét đĩa bằng phần mềm chống vi-rút.
Nếu quá trình mã hóa được bắt đầu bởi vi-rút, bạn có thể sử dụng phần mềm khôi phục tệp, chẳng hạn như Rstudio. Sau khi sao chép chúng vào phương tiện di động, bạn cần cài đặt lại hệ thống.
Nếu bạn sử dụng các chương trình khôi phục dữ liệu được ghi trên khu vực khởi động, chẳng hạn như Acronis True Image, thì bạn có thể chắc chắn rằng “Petya” không ảnh hưởng đến khu vực này. Điều này có nghĩa là bạn có thể đưa hệ thống trở lại trạng thái hoạt động mà không cần cài đặt lại.

Nếu bạn tìm thấy lỗi, vui lòng đánh dấu một đoạn văn bản và nhấp vào Ctrl+Enter.

Một vài tháng trước, chúng tôi và các chuyên gia Bảo mật CNTT khác đã phát hiện ra một phần mềm độc hại mới - Petya (Win32.Trojan-Ransom.Petya.A). Theo nghĩa cổ điển, nó không phải là một bộ mã hóa; virus chỉ đơn giản là chặn quyền truy cập vào một số loại tệp nhất định và yêu cầu tiền chuộc. Virus đã sửa đổi bản ghi khởi động trên ổ cứng, buộc khởi động lại PC và hiển thị thông báo rằng “dữ liệu đã được mã hóa - lãng phí tiền của bạn để giải mã”. Nói chung, sơ đồ tiêu chuẩn của virus mã hóa, ngoại trừ việc các tệp KHÔNG thực sự được mã hóa. Hầu hết các phần mềm diệt virus phổ biến đã bắt đầu xác định và loại bỏ Win32.Trojan-Ransom.Petya.A vài tuần sau khi nó xuất hiện. Ngoài ra, hướng dẫn gỡ bỏ thủ công đã xuất hiện. Tại sao chúng tôi nghĩ Petya không phải là một ransomware cổ điển? Virus này thực hiện các thay đổi đối với Bản ghi khởi động chính và ngăn hệ điều hành tải, đồng thời mã hóa Bảng tệp chính. Nó không tự mã hóa các tập tin.

Tuy nhiên, một loại virus phức tạp hơn đã xuất hiện vài tuần trước Mischa, dường như được viết bởi những kẻ lừa đảo tương tự. Tệp ENCRYPTS vi-rút này và yêu cầu bạn phải trả 500 - 875 đô la để giải mã (trong các phiên bản khác nhau 1,5 - 1,8 bitcoin). Hướng dẫn “giải mã” và thanh toán được lưu trữ trong các tệp YOUR_FILES_ARE_ENCRYPTED.HTML và YOUR_FILES_ARE_ENCRYPTED.TXT.

Vi-rút Mischa - nội dung của tệp YOUR_FILES_ARE_ENCRYPTED.HTML

Trên thực tế, hiện nay, tin tặc đã lây nhiễm vào máy tính của người dùng hai phần mềm độc hại: Petya và Mischa. Việc đầu tiên cần có quyền quản trị viên trên hệ thống. Nghĩa là, nếu người dùng từ chối cấp quyền quản trị cho Petya hoặc xóa phần mềm độc hại này theo cách thủ công, Mischa sẽ tham gia. Loại vi-rút này không yêu cầu quyền quản trị viên, nó là một trình mã hóa cổ điển và thực sự mã hóa các tệp bằng thuật toán AES mạnh mà không thực hiện bất kỳ thay đổi nào đối với Bản ghi khởi động chính và bảng tệp trên ổ cứng của nạn nhân.

Phần mềm độc hại Mischa không chỉ mã hóa các loại tệp tiêu chuẩn (video, hình ảnh, bản trình bày, tài liệu) mà còn cả các tệp .exe. Virus không chỉ ảnh hưởng đến các thư mục \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow và \Chrome.

Sự lây nhiễm xảy ra chủ yếu thông qua e-mail, nơi nhận được một lá thư có tệp đính kèm - trình cài đặt vi-rút. Nó có thể được mã hóa dưới dạng thư từ Sở Thuế, từ kế toán của bạn, dưới dạng biên lai đính kèm và biên lai mua hàng, v.v. Hãy chú ý đến phần mở rộng tệp bằng các chữ cái như vậy - nếu đó là tệp thực thi (.exe), thì khả năng cao đó có thể là nơi chứa vi-rút Petya\Mischa. Và nếu phần mềm độc hại mới được sửa đổi gần đây, phần mềm chống vi-rút của bạn có thể không phản hồi.

Cập nhật ngày 30/06/2017: Ngày 27 tháng 6, một phiên bản sửa đổi của virus Petya (Petya.A) tấn công ồ ạt người dùng ở Ukraine. Hiệu quả của cuộc tấn công này là rất lớn và thiệt hại về kinh tế vẫn chưa được tính toán. Trong một ngày, hoạt động của hàng chục ngân hàng, chuỗi bán lẻ, cơ quan chính phủ và doanh nghiệp thuộc nhiều hình thức sở hữu khác nhau bị tê liệt. Virus lây lan chủ yếu thông qua lỗ hổng trong hệ thống báo cáo kế toán MeDoc của Ukraina với bản cập nhật tự động mới nhất của phần mềm này. Ngoài ra, virus này còn ảnh hưởng đến các quốc gia như Nga, Tây Ban Nha, Anh, Pháp và Litva.

Loại bỏ virus Petya và Mischa bằng trình dọn dẹp tự động

Một phương pháp làm việc cực kỳ hiệu quả với phần mềm độc hại nói chung và ransomware nói riêng. Việc sử dụng phức hợp bảo vệ đã được chứng minh đảm bảo phát hiện kỹ lưỡng mọi thành phần vi-rút và loại bỏ hoàn toàn chúng chỉ bằng một cú nhấp chuột. Xin lưu ý rằng chúng ta đang nói về hai quy trình khác nhau: gỡ cài đặt lây nhiễm và khôi phục các tệp trên PC của bạn. Tuy nhiên, mối đe dọa chắc chắn cần phải được loại bỏ vì có thông tin về việc xuất hiện các Trojan máy tính khác sử dụng nó.

. Sau khi khởi động phần mềm, nhấn vào nút Bắt đầu quét máy tính(Bắt đầu quét).
Phần mềm được cài đặt sẽ cung cấp báo cáo về các mối đe dọa được phát hiện trong quá trình quét. Để loại bỏ tất cả các mối đe dọa được phát hiện, hãy chọn tùy chọn Khắc phục các mối đe dọa(Loại bỏ các mối đe dọa). Phần mềm độc hại được đề cập sẽ bị xóa hoàn toàn.

Khôi phục quyền truy cập vào các tập tin được mã hóa

Như đã lưu ý, ransomware Mischa khóa các tệp bằng thuật toán mã hóa mạnh để dữ liệu được mã hóa không thể được khôi phục bằng một chiếc đũa thần - mà không phải trả một số tiền chuộc chưa từng có (đôi khi lên tới 1.000 USD). Nhưng một số phương pháp thực sự có thể là cứu cánh giúp bạn khôi phục dữ liệu quan trọng. Dưới đây bạn có thể làm quen với họ.

Chương trình phục hồi tập tin tự động (bộ giải mã)

Một tình huống rất bất thường được biết đến. Sự lây nhiễm này sẽ xóa các tập tin gốc ở dạng không được mã hóa. Do đó, quá trình mã hóa nhằm mục đích tống tiền nhằm vào các bản sao của chúng. Điều này giúp các phần mềm như khôi phục các đối tượng đã bị xóa có thể thực hiện được, ngay cả khi độ tin cậy của việc xóa chúng được đảm bảo. Bạn nên sử dụng quy trình khôi phục tập tin; tính hiệu quả của nó là không thể nghi ngờ.

Bản sao bóng của các tập

Cách tiếp cận này dựa trên quy trình sao lưu tệp Windows, được lặp lại ở mỗi điểm khôi phục. Một điều kiện quan trọng để phương pháp này hoạt động: chức năng “Khôi phục hệ thống” phải được kích hoạt trước khi bị lây nhiễm. Tuy nhiên, mọi thay đổi đối với tệp được thực hiện sau điểm khôi phục sẽ không xuất hiện trong phiên bản được khôi phục của tệp.

Hỗ trợ

Đây là phương pháp tốt nhất trong số tất cả các phương pháp không đòi tiền chuộc. Nếu quy trình sao lưu dữ liệu vào máy chủ bên ngoài đã được sử dụng trước cuộc tấn công của ransomware vào máy tính của bạn, để khôi phục các tệp bị mã hóa, bạn chỉ cần vào giao diện thích hợp, chọn các tệp cần thiết và khởi chạy cơ chế khôi phục dữ liệu từ bản sao lưu. Trước khi thực hiện thao tác, bạn phải đảm bảo rằng phần mềm tống tiền đã được loại bỏ hoàn toàn.

Kiểm tra sự hiện diện của các thành phần còn sót lại của ransomware Petya và Mischa

Việc dọn dẹp thủ công có nguy cơ thiếu các phần ransomware riêng lẻ có thể thoát khỏi việc bị xóa dưới dạng đối tượng hệ điều hành ẩn hoặc mục đăng ký. Để loại bỏ nguy cơ lưu giữ một phần các phần tử độc hại riêng lẻ, hãy quét máy tính của bạn bằng gói phần mềm bảo mật đáng tin cậy chuyên về phần mềm độc hại.

Cục Cảnh sát mạng của Cảnh sát Quốc gia Ukraine đã công bố các khuyến nghị về việc khôi phục quyền truy cập vào các máy tính bị hỏng do đó.

Trong quá trình nghiên cứu chi tiết về phần mềm độc hại, các nhà nghiên cứu đã xác định ba tình huống chính về tác động của nó (khi chạy với tư cách quản trị viên):

Hệ thống hoàn toàn bị xâm phạm. Việc khôi phục dữ liệu yêu cầu khóa riêng và một cửa sổ xuất hiện trên màn hình khi khởi động yêu cầu bạn trả tiền chuộc để lấy khóa giải mã.

Máy tính bị nhiễm virus, bị mã hóa một phần, hệ thống bắt đầu quá trình mã hóa nhưng các yếu tố bên ngoài (mất điện,…) đã làm dừng quá trình mã hóa.

Các máy tính bị nhiễm virus nhưng quá trình mã hóa bảng MFT vẫn chưa bắt đầu.

Việc khôi phục quyền truy cập chỉ có thể thực hiện được trong hai trường hợp cuối cùng, trong khi thật không may, không có cách nào hiệu quả để khôi phục các hệ thống bị xâm phạm hoàn toàn. Các chuyên gia từ Cục Cảnh sát mạng, SBU, Cơ quan Truyền thông Đặc biệt Nhà nước Ukraine và các công ty CNTT trong nước và quốc tế hiện đang tích cực tìm kiếm nó.

Các nhà nghiên cứu đã xác định hai giai đoạn chính trong hoạt động của chương trình Trojan Petya đã sửa đổi:

Đầu tiên: có được quyền đặc quyền (quyền quản trị viên). Trên nhiều máy tính ở kiến trúc Windows (Active Directory), các quyền này bị vô hiệu hóa. Virus lưu khu vực khởi động ban đầu cho hệ điều hành (MBR) ở dạng mã hóa hoạt động XOR theo bit (xor 0x7), sau đó thay thế khu vực trên bằng bộ tải khởi động đã sửa đổi, phần còn lại của mã Trojan được ghi vào khu vực đầu tiên. các lĩnh vực của đĩa. Bước này tạo một tệp văn bản về mã hóa nhưng dữ liệu chưa thực sự được mã hóa.

Thứ hai: sau khi khởi động lại, giai đoạn thứ hai của hoạt động của virus bắt đầu - mã hóa dữ liệu; bây giờ nó chuyển sang khu vực cấu hình, trong đó có ghi chú rằng dữ liệu chưa được mã hóa và cần được mã hóa. Sau đó, quá trình mã hóa bắt đầu, giống như chương trình Check Disk.

Nếu khi khởi động từ đĩa cài đặt Windows, hiển thị một bảng có các phân vùng đĩa cứng, thì bạn có thể bắt đầu quy trình khôi phục khu vực khởi động MBR. Nó được thực hiện như sau:

Đối với hệ điều hành Windows XP:

Sau khi tải đĩa cài đặt Windows XP vào RAM của PC, hộp thoại "Cài đặt Windows XP Professional" sẽ xuất hiện, chứa menu lựa chọn, bạn phải chọn mục "để khôi phục Windows XP bằng bảng điều khiển khôi phục, nhấn R." . Nhấn "R".

Recovery Console sẽ tải.

Nếu PC đã cài đặt một hệ điều hành và nó được cài đặt (theo mặc định) trên ổ C, thông báo sau sẽ xuất hiện:

"1:C:\WINDOWS Tôi nên đăng nhập vào bản sao Windows nào?"

Gõ phím "1", nhấn phím "Enter".

Bạn sẽ được nhắc: C:\WINDOWS> nhập fixmbr

Sau đó, thông báo “CẢNH BÁO” sẽ xuất hiện.

“Bạn có xác nhận ghi MBR mới không?”, Nhấn phím “Y”.

Một thông báo sẽ xuất hiện: “Một khu vực khởi động chính mới đang được tạo trên đĩa vật lý \Device\Harddisk0\Partition0.”

"Khu vực khởi động chính mới đã được tạo thành công."

Vì Windows Vista:

Chọn hệ điều hành của bạn và nhấp vào Tiếp theo.

Khi cửa sổ Tùy chọn khôi phục hệ thống xuất hiện, hãy nhấp vào Dấu nhắc lệnh.

Khi dấu nhắc lệnh xuất hiện, hãy nhập lệnh này:

bootrec/FixMbr

Dành cho Windows 7

Tải xuống Windows 7.

Chọn ngôn ngữ.

Chọn bố trí bàn phím của bạn.

Trên màn hình Tùy chọn khôi phục hệ thống, nhấp vào nút Dấu nhắc lệnh trên màn hình Tùy chọn khôi phục hệ thống Windows 7

Khi dấu nhắc lệnh khởi động thành công, hãy nhập lệnh:

bootrec/fixmbr

Đợi thao tác hoàn tất. Nếu mọi thứ thành công, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Nhấn phím Enter và khởi động lại máy tính của bạn.

Dành cho Windows 8

Tải xuống Windows 8.

Trên màn hình Chào mừng, nhấp vào nút Khôi phục máy tính của bạn.

Chọn Khắc phục sự cố.

Chọn dòng lệnh..

Khi dấu nhắc lệnh tải, hãy nhập các lệnh sau:

bootrec/FixMbr

Đợi thao tác hoàn tất. Nếu mọi thứ thành công, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Nhấn phím Enter và khởi động lại máy tính của bạn.

Dành cho Windows 10

Tải xuống Windows 10.

Trên màn hình chào mừng, nhấp vào nút "Sửa chữa máy tính của bạn"

Chọn "Khắc phục sự cố"

Chọn Dấu nhắc lệnh.

Khi dấu nhắc lệnh tải, hãy nhập lệnh:

bootrec/FixMbr

Đợi thao tác hoàn tất. Nếu mọi thứ thành công, một thông báo xác nhận sẽ xuất hiện trên màn hình.

Nhấn phím Enter và khởi động lại máy tính của bạn.

Sau quy trình khôi phục MBR, các nhà nghiên cứu khuyên bạn nên kiểm tra đĩa bằng các chương trình chống vi-rút để tìm các tệp bị nhiễm. Cũng cần lưu ý rằng ngoài dữ liệu đăng ký do người dùng M.E.doc cung cấp, không có thông tin nào khác được truyền đi.

(Petya.A), và đưa ra một số lời khuyên.

Theo SBU, việc lây nhiễm vào hệ điều hành chủ yếu xảy ra thông qua việc mở các ứng dụng độc hại (tài liệu Word, tệp PDF), được gửi đến địa chỉ email của nhiều cơ quan thương mại và chính phủ.

“Cuộc tấn công, mục tiêu chính là phân phối bộ mã hóa tệp Petya.A, đã sử dụng lỗ hổng mạng MS17-010, do đó một tập lệnh đã được cài đặt trên máy bị nhiễm mà những kẻ tấn công đã sử dụng để khởi chạy đã đề cập đến bộ mã hóa tập tin,” SBU cho biết.

Virus tấn công các máy tính chạy hệ điều hành Windows bằng cách mã hóa các tệp của người dùng, sau đó nó hiển thị thông báo về việc chuyển đổi các tệp với đề xuất thanh toán cho khóa giải mã bằng bitcoin tương đương 300 USD để mở khóa dữ liệu.

“Thật không may, dữ liệu được mã hóa không thể giải mã được. SBU cho biết công việc vẫn tiếp tục về khả năng giải mã dữ liệu được mã hóa.

Phải làm gì để bảo vệ bản thân khỏi virus

1. Nếu máy tính được bật và hoạt động bình thường nhưng bạn nghi ngờ rằng nó có thể bị nhiễm virus, đừng khởi động lại nó trong bất kỳ trường hợp nào (nếu PC đã bị hỏng thì cũng đừng khởi động lại) - virus sẽ được kích hoạt khi khởi động lại và mã hóa tất cả các tập tin có trên máy tính.

2. Lưu tất cả các tệp có giá trị nhất vào một ổ đĩa riêng không được kết nối với máy tính và lý tưởng nhất là tạo một bản sao lưu cùng với HĐH.

3. Để xác định bộ mã hóa tệp, bạn phải hoàn thành tất cả các tác vụ cục bộ và kiểm tra sự hiện diện của tệp sau: C:/Windows/perfc.dat

4. Tùy thuộc vào phiên bản hệ điều hành Windows mà cài đặt bản vá.

5. Đảm bảo rằng tất cả các hệ thống máy tính đều được cài đặt phần mềm chống vi-rút hoạt động bình thường và sử dụng cơ sở dữ liệu dấu hiệu vi-rút cập nhật. Nếu cần, hãy cài đặt và cập nhật phần mềm chống vi-rút.

6. Để giảm nguy cơ lây nhiễm, bạn nên xử lý cẩn thận tất cả các thư từ điện tử và không tải xuống hoặc mở các tệp đính kèm trong thư được gửi từ những người không quen biết. Nếu bạn nhận được một lá thư đáng ngờ từ một địa chỉ đã biết, hãy liên hệ với người gửi và xác nhận rằng lá thư đã được gửi.

7. Tạo bản sao lưu tất cả dữ liệu quan trọng.

Cung cấp thông tin cụ thể cho nhân viên của các bộ phận kết cấu và không cho phép nhân viên làm việc với máy tính chưa cài đặt các bản vá được chỉ định, bất kể chúng được kết nối với mạng cục bộ hay Internet.

Có thể thử khôi phục quyền truy cập vào máy tính Windows bị chặn bởi một loại vi-rút cụ thể.

Bởi vì phần mềm độc hại được chỉ định thực hiện các thay đổi đối với bản ghi MBR, đó là lý do tại sao thay vì tải hệ điều hành, người dùng sẽ thấy một cửa sổ có văn bản về mã hóa tệp. Vấn đề này có thể được giải quyết bằng cách khôi phục bản ghi MBR. Có những tiện ích đặc biệt cho việc này. SBU đã sử dụng tiện ích Boot-Repair cho việc này (hướng dẫn tại liên kết).

b). Chạy nó và đảm bảo rằng tất cả các hộp trong cửa sổ “Hiện vật cần thu thập” đã được chọn.

c). Trong tab “Chế độ thu thập nhật ký Eset”, đặt Mã nhị phân nguồn đĩa.

đ). Bấm vào nút Thu thập.

đ). Gửi một kho lưu trữ các bản ghi.

Nếu PC bị ảnh hưởng đã bật và chưa tắt, hãy tiếp tục

bước 3 để thu thập thông tin giúp viết bộ giải mã,

điểm 4 để xử lý hệ thống.

Từ một PC đã bị ảnh hưởng (nó không khởi động được), bạn cần thu thập MBR để phân tích thêm.

Bạn có thể lắp ráp nó theo hướng dẫn sau:

Một). Tải xuống ESET SysRescue Live CD hoặc USB (việc tạo được mô tả ở bước 3)

b). Đồng ý cấp phép sử dụng

c). Nhấn CTRL + ALT + T (thiết bị đầu cuối sẽ mở)

đ). Viết lệnh “parted -l” không có dấu ngoặc kép, tham số là chữ nhỏ “L” rồi nhấn

đ). Xem danh sách các ổ đĩa và xác định PC bị ảnh hưởng (phải là một trong/dev/sda)

f). Viết lệnh “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ không có dấu ngoặc kép, thay vì “/dev/sda“ hãy sử dụng đĩa mà bạn đã xác định ở bước trước và nhấp vào (Tệp/home/eset/petya.img sẽ được tạo)

g). Kết nối ổ flash USB và sao chép tệp /home/eset/petya.img

h). Bạn có thể tắt máy tính của bạn.

Xem thêm - Omelyan về bảo vệ khỏi các cuộc tấn công mạng

Omelyan về bảo vệ khỏi các cuộc tấn công mạng