В процеса на изучаване на вирус-шифър Petya.A изследователи намери няколко варианта на въздействието на зловреден софтуер (вируси, когато работят с администраторски права):
Системата е напълно компрометирана. За да възстановите данните изисква частния ключ и екранът показва прозорец със съобщение относно изискването за плащане на откуп, за да получите ключ за дешифриране на данните.
Компютри, заразени с частично криптирани. Система за стартиране на процеса на криптиране, но външни фактори (напр. Прекъсване на тока и т.н.), да спрат процеса на криптиране.
Компютри са заразени, но процесът на криптиране MFT все още не е започнал.
Що се отнася до първото изпълнение - за съжаление, в момента все още не е установен метод, който извършва декодиране на данните е гарантирана. Решаването на този проблем е активно ангажирани специалисти пощенска и телекомуникационна отдел на СБУ, DSSTZI, украински и международни ИТ компании.
В същото време, през последните два случая, има шанс да се възстанови информацията, която е на компютъра, тъй като оформление MFT маса не е счупена или счупена част, което означава, че до възстановяване на сектора за начално зареждане MBR система, компютърът ще започне и да стартирате.
Така модифициран троянски «Петя» работи в няколко етапа:
Първо: да получите на правата на привилегировани (права на администратор). На много компютри в архитектурата на Windows (Active Directory), тези права са с увреждания. Вирусът запазва оригиналната обувка сектор на операционната система (MBR) е криптирана малко операция XOR (XOR 0x7), а след това пише зареждане на ОС, за да поставите по-горе сектор, останалата част от троянски код е написан на първия сектор на диска. Тази стъпка създава текстов файл на криптиране, но в действителност данните не е кодирано.
Защо така? Защото, както е описано по-горе - е подготовка за шифроване на диска и той ще започне само след рестартиране на компютъра.
На второ място, след рестартиране, последвана от втора фаза на вируса на работа - шифроване на данни, той се обръща към своя вече конфигурация сектор, в който флаг, че данните все още не криптирана и искате да криптирате. След това процесът на криптиране, която е от типа програма работа Check Disk.
По-долу са препоръки за възобновяване на достъп до засегнатото операционната система, вирус, при условие че:
• Процесът на шифроване е започнало, но външни фактори (напр спиране на тока, и т.н.) Спряно процес криптиране.
• Процесът на шифроване на MFT все още не е започнало, поради фактори, които не са зависими от потребителя (недостатъчност на вируса, реакцията на антивирусен софтуер на ефекта на вируса, и т.н.).
Препоръчително е да се извършват следните стъпки, за да се провери и възстановяват шифровани данни:
• Boot от инсталационния диск на Windows;
• Ако стартирате от инсталационния диск на Windows ще се вижда от таблицата с дялове върху твърд диск, можете да започнете да се възстанови процесът MBR;
След като изтеглите инсталационния диск на Windows XP в RAM PC, диалогов прозорец "Инсталиране на Windows XP Professional», съдържащ меню за избор, изберете опцията "за възстановяване на Windows XP с помощта на конзолата за възстановяване, натиснете R». [R = възстановяване]. Натиснете «R».
За да заредите конзолата за възстановяване.
Ако вашият компютър е инсталирана една операционна система, и това (по подразбиране) е инсталиран на диск C, се появява следното съобщение:
"1: C: \ WINDOWS трябва да бъде подписан в която и да е копие на Windows»?
Въведете ключ "1", натиснете «Enter» ключ.
Появява се съобщение: "Въведете парола на администратор." Въведете паролата, след което натиснете «Влез» (ако няма парола, просто натиснете "Enter").
Трябва да видите заявка система: C: \ WINDOWS> въведете FIXMBR
След това се появи съобщение: "ВНИМАНИЕ".
"Потвърдете записа нов MBR?». Натиснете «Y».
Появява се съобщение: "Нов сектор господар обувка на физическия диск \ Device \ HardDisk0 \ Partition0».
"Успява да създаде нов господар обувка сектор".
Изтегляне на Windows Vista. Изберете език и клавиатурна подредба. От поздравителния екран кликнете върху "Възстановяване компютър съвместимост". Windows Vista компютър ще редактирате менюто.
Изберете вашата операционна система и натиснете бутона "Next".
Когато се появи прозореца "Опции за възстановяване", щракнете върху командния ред.
Когато командния ред въведете следната команда:
Изчакайте, докато операцията не свършва. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.
Натиснете «Влез» ключа и рестартирайте компютъра.
Изтегляне на Windows 7.
Изберете клавиатурна подредба.
Щракнете върху бутона "Next".
Изберете вашата операционна система и натиснете бутона "Next". Когато изберете операционната система, трябва да се провери "Използване на инструментите за възстановяване, които могат да помогнат за решаване на проблемите, свързани с пускането на Windows».
На екрана "Опции за възстановяване", щракнете върху "командния ред" на екрана, "Опции Windows 7 System Recovery"
Когато командния ред е успешно заредена, въведете следната команда:
Изчакайте, докато операцията е завършена. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.
Натиснете «Влез» ключа и рестартирайте компютъра.
Изтеглете Windows 8.
На "Добре дошли" на екрана, натиснете "Поправяне на вашия компютър"
Windows 8 ще възстанови менюто компютър
Изберете "Отстраняване на проблеми"
Изберете командния ред.
Когато обувка командния ред, въведете следните команди:
Изчакайте, докато операцията е завършена. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.
Натиснете «Влез» ключа и рестартирайте компютъра.
Стартирайте Windows 10.
От поздравителния екран кликнете върху "Поправяне на вашия компютър"
Изберете "Отстраняване на проблеми"
Изберете командния ред.
Когато заредена командния ред, въведете следната команда:
Изчакайте, докато операцията е завършена. Ако всичко е успешно, на екрана ще се появи съобщение за потвърждение.
Натиснете «Влез» ключа и рестартирайте компютъра.
След процедурите по възстановяване на MBR, учените препоръчват да изпробват антивирусни програми за заразени файлове.
Пощи и далекосъобщения Експерти отбелязват, че тези действия са също подходящи, ако процесът на криптиране е започнато, но прекъснато от потребителя чрез включване и изключване на компютъра по време на първоначалния процес на криптиране. В този случай, според операционната система, можете да използвате софтуера, за да възстановите файлове (като RStudio), а след това да ги копирате в външен диск и преинсталиране на системата.
Отбелязва се също, че използването на информационни програми за възстановяване, които записват си зареждащия сектор (като Acronis True Image), а след това този раздел не е докосната от вируса и може да се върне на работното състояние на системата към датата на контролно-пропускателния пункт.
Най-пощи и далекосъобщения каза, че в допълнение към данните за регистрация, която показва на потребителя на програма «M.E.doc задачите», не се предава информация.
[Общо гласове: 1 Статистика: 3/5]
Свързани статии