Comment restaurer l'accès au système d'exploitation après une attaque du virus Petya : recommandations de la Cyber ​​​​Police d'Ukraine

Le département de cyber-police de la police nationale d'Ukraine a publié des recommandations destinées aux utilisateurs sur la manière de restaurer l'accès aux ordinateurs qui ont fait l'objet d'une cyber-attaque par le virus de cryptage Petya.A.

Au cours de l'étude du virus ransomware Petya.A, les chercheurs ont identifié plusieurs options pour l'impact des logiciels malveillants (lors de l'exécution du virus avec des droits d'administrateur) :

Le système est complètement compromis. Pour récupérer des données, une clé privée est requise et une fenêtre apparaît sur l'écran vous demandant de payer une rançon pour obtenir la clé permettant de décrypter les données.

Les ordinateurs sont infectés et partiellement cryptés. Le système a démarré le processus de cryptage, mais facteurs externes(ex : coupure de courant, etc.) ont arrêté le processus de cryptage.

Les ordinateurs sont infectés, mais le processus de chiffrement de la table MFT n'a pas encore commencé.

Quant à la première option, malheureusement, à l’heure actuelle, il n’existe pas encore de méthode garantissant le décryptage des données. Des spécialistes du département de cyber-police, du SBU, du DSSTZI, des sociétés informatiques ukrainiennes et internationales travaillent activement pour résoudre ce problème.

En même temps, en deux cas récents il est possible de restaurer les informations présentes sur l'ordinateur, car la table de partitionnement MFT n'est pas cassée ou partiellement cassée, ce qui signifie qu'en restaurant le secteur de démarrage MBR du système, l'ordinateur démarrera et fonctionnera.

Ainsi, le programme cheval de Troie modifié « Petya » fonctionne en plusieurs étapes :

Premièrement : obtenir des droits privilégiés (droits d'administrateur). Sur de nombreux ordinateurs en architecture Windows (Active Directory), ces droits sont désactivés. Le virus conserve le secteur de démarrage d'origine pendant système opérateur(MBR) sous une forme cryptée de l'opération bit XOR (xor 0x7), puis écrit son chargeur de démarrage à la place du secteur ci-dessus, le reste du code du cheval de Troie est écrit dans les premiers secteurs du disque. Cette étape crée un fichier texte sur le chiffrement, mais les données ne sont pas encore réellement chiffrées.

Pourquoi est-ce ainsi ? Parce que ce qui est décrit ci-dessus n'est qu'une préparation au chiffrement du disque et cela ne commencera qu'après le redémarrage du système.

Deuxièmement : après le redémarrage, la deuxième phase de l'action du virus commence - le cryptage des données, il se tourne maintenant vers son secteur de configuration, dans lequel le drapeau est défini indiquant que les données ne sont pas encore cryptées et doivent être cryptées. Après cela, le processus de cryptage commence, qui ressemble au programme Check Disk.

Le processus de cryptage a été lancé, mais des facteurs externes (par exemple : panne de courant, etc.) ont arrêté le processus de cryptage ;
Le processus de cryptage de la table MFT n'a pas encore commencé en raison de facteurs indépendants de l'utilisateur (dysfonctionnement du virus, réaction du logiciel antivirus aux actions du virus, etc.).

Démarrer depuis l'installation Disque Windows;

Si, après le démarrage à partir du disque d'installation de Windows, un tableau avec les partitions du disque dur est visible, vous pouvez alors lancer le processus de récupération MBR ;

Pour Windows XP :

Après avoir chargé le disque d'installation de Windows XP dans BÉLIER PC, la boîte de dialogue « Installer Windows XP Professionnel » apparaît, contenant un menu de sélection, vous devez sélectionner l'option « pour restaurer Windows XP à l'aide de la console de récupération, appuyez sur R ». . Appuyez sur la touche "R".

La console de récupération se chargera.

Si le PC a un système d'exploitation installé et qu'il est (par défaut) installé sur le lecteur C, le message suivant apparaîtra :

"1:C:\WINDOWS À quelle copie de Windows dois-je me connecter ?"

Tapez la touche "1", appuyez sur la touche "Entrée".

Un message apparaîtra : « Entrez votre mot de passe administrateur. » Entrez votre mot de passe, appuyez sur "Entrée" (s'il n'y a pas de mot de passe, appuyez simplement sur "Entrée").

L'invite système devrait apparaître : C:\WINDOWS> entrez fixmbr

Le message « AVERTISSEMENT » apparaîtra alors.

"Confirmez-vous l'entrée du nouveau MBR?" Appuyez sur la touche "Y".

Un message apparaîtra : « Un nouveau secteur de démarrage principal est en cours de création sur le disque physique \Device\Harddisk0\Partition0. »

"Le nouveau secteur de démarrage principal a été créé avec succès."

Pour Windows Vista :

Téléchargez Windows Vista. Sélectionnez votre langue et la disposition du clavier. Sur l'écran de bienvenue, cliquez sur "Restaurer votre ordinateur". Windows Vista modifiera le menu de l'ordinateur.

Sélectionnez votre système d'exploitation et cliquez sur Suivant.

Lorsque la fenêtre Options de récupération système apparaît, cliquez sur Invite de commandes.

Lorsque l'invite de commande apparaît, entrez la commande :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout réussit, un message de confirmation apparaîtra à l'écran.

Pour Windows 7 :

Téléchargez Windows 7.

Sélectionnez une langue.

Sélectionnez la disposition de votre clavier.

Sélectionnez votre système d'exploitation et cliquez sur Suivant. Lorsque vous choisissez un système d'exploitation, vous devez cocher « Utiliser des outils de récupération qui peuvent aider à résoudre les problèmes de démarrage de Windows ».

Sur l'écran Options de récupération du système, cliquez sur le bouton Invite de commandes sur l'écran Options de récupération du système Windows 7.

Lorsque l'invite de commande démarre correctement, entrez la commande :

bootrec/fixmbr

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Pour Windows 8

Téléchargez Windows 8.

Sur l'écran de bienvenue, cliquez sur le bouton Restaurer votre ordinateur

Windows 8 restaurera le menu de l'ordinateur

Sélectionnez Invite de commandes.

Lorsque l'invite de commande se charge, entrez les commandes suivantes :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout réussit, un message de confirmation apparaîtra à l'écran.

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Pour Windows 10

Téléchargez Windows 10.

Sur l'écran d'accueil, cliquez sur le bouton "Réparer votre ordinateur"

Sélectionnez "Dépannage"

Sélectionnez Invite de commandes.

Lorsque l'invite de commande se charge, entrez la commande :

bootrec/FixMbr

Attendez la fin de l'opération. Si tout réussit, un message de confirmation apparaîtra à l'écran.

Appuyez sur la touche Entrée et redémarrez votre ordinateur.

Après la procédure de récupération MBR, les chercheurs recommandent d'analyser le disque avec des programmes antivirus à la recherche de fichiers infectés.

Les experts en cyberpolice notent que actions spécifiées sont également pertinents si le processus de cryptage a été lancé mais interrompu par l'utilisateur en coupant l'alimentation de l'ordinateur processus initial cryptage. DANS dans ce cas, après avoir chargé le système d'exploitation, vous pouvez utiliser logiciel pour restaurer des fichiers (comme RStudio), puis copiez-les sur un support externe et réinstallez le système.

Il convient également de noter que si vous utilisez des programmes de récupération de données qui enregistrent leur secteur de démarrage (comme Acronis True Image), le virus ne touche pas cette partition et vous pouvez ramener l'état de fonctionnement du système à la date du point de contrôle.

La cyberpolice a signalé qu'à part les données d'enregistrement fournies par les utilisateurs du programme M.E.doc, aucune information n'a été transmise.

Rappelons que le 27 juin 2017, une cyberattaque à grande échelle du virus de cryptage Petya.A a débuté contre les systèmes informatiques d'entreprises et d'agences gouvernementales ukrainiennes.

Des chercheurs et des experts en cybersécurité rapportent que le virus, qui a été le plus durement touché par l'attaque en Ukraine, où il était initialement ciblé, a été créé dans le but délibéré de désactiver complètement les machines des victimes et ne comprend pas de système de décryptage des informations. Si le virus Petya.C a infecté un ordinateur, à un certain stade, l'utilisateur peut toujours redémarrer le système, mais il ne sera plus possible de décrypter les informations.

Des représentants des sociétés Cybersecurity and Co. et Positive Technologies, ainsi que le représentant officiel du SBU d'Ukraine, ont déclaré qu'aux premiers signes d'infection le seul moyen Pour empêcher le cryptage des informations, éteignez l'ordinateur.

Lorsqu’un code malveillant pénètre dans l’appareil de la victime, le virus crée une tâche retardée pour redémarrer l’appareil. D'ici là, vous pouvez exécuter la commande bootrec /fixMbr pour réparer la partition. De ce fait, le système restera opérationnel, mais les fichiers seront toujours cryptés. Il s'agit d'un aller simple. Petya.C fonctionne de telle manière qu'une fois infecté, il génère une clé de déchiffrement spéciale, qui est supprimée presque immédiatement.

Après avoir crypté avec succès les informations de l'ordinateur, un message s'affiche sur l'écran vous demandant de payer 300 $ en bitcoins afin de recevoir la clé permettant de décrypter les informations. Plusieurs milliers de dollars ont déjà été déposés sur le compte des pirates, mais aucune des victimes n'a reçu le code requis. Le fait est que le fournisseur allemand e-mail a bloqué la boîte mail des attaquants, qui était le seul moyen de contacter les pirates. En outre, des représentants de Kaspersky Lab ont signalé que les auteurs de Petya.C eux-mêmes n'ont pas capacité physique décrypter les ordinateurs de ses victimes, puisque le virus ne prévoit pas la création d’un identifiant pour l’ordinateur de la victime, qui permettrait aux pirates d’envoyer la clé.

Pour chiffrer les appareils, Petya.C utilise la vulnérabilité EternalBlue, qui a été divulguée par la NSA plus tôt cette année. Le même exploit a été utilisé par les créateurs du ransomware WannaCry en mai. Microsoft a publié les correctifs nécessaires en mars de cette année et a même mis à jour Windows XP pour prévenir de nouvelles infections. La société a averti que de telles attaques provenant de une grande part les probabilités seront répétées, les utilisateurs doivent donc mettre à jour leur ordinateur dès que possible. Personne ne nie le fait qu'à l'avenir, un autre Vasia ou Lyosha pourrait apparaître, qui tentera de répéter le « succès » de WannaCry ou Petya.C.

Rappelons que Microsoft a annoncé un certain nombre de modifications des systèmes de sécurité de Windows 10, destinées à empêcher des attaques répétées à l'avenir. La société l’a déjà fait (il a été utilisé dans les attaques WannaCry et Petya.C) et va également l’ajouter, ce qui rendra plus difficile l’utilisation de l’exploit pour infecter l’ordinateur d’une victime.

Le 27/06/2017, pour ceux qui n'effectuent pas de sauvegardes sur des supports amovibles, est devenu le jour le plus noir où le virus Petya wiper, en seulement une demi-heure de son travail, a détruit la semaine de quelqu'un, et les 10 à 12 ans de travail de quelqu'un et archive des fichiers précieux. , bases de données et autres choses. Forcé de commencer sa vie avec table rase. Cependant, il est possible de sauvegarder au moins les archives et photos Outlook. Détails sous la coupe.
Le virus a fonctionné en deux étapes : il a chiffré les fichiers (pas tous ni complètement), puis a lancé un redémarrage et, après le redémarrage, a chiffré le chargeur de démarrage (MBR) du disque dur. En conséquence, le disque dur s'est transformé en une « citrouille » conditionnelle dont rien ne pouvait être extrait.
Si le PC n'a survécu qu'à la première étape, après avoir restauré le MBR, vous pouvez continuer à travailler pleinement sur le PC et observer les conséquences du crypteur de fichiers et rechercher ceux qui ont survécu. Si le PC est passé par deux étapes, alors tout est bien pire et même le simple fait d'extraire des fichiers est beaucoup plus difficile.

Il n'y a pratiquement aucune recherche d'informations sur RuNet sur la façon de sauvegarder des informations à partir d'un tel disque dur, j'ai donc dû sélectionner empiriquement la stratégie optimale pour rechercher et restaurer ce qui pourrait survivre. Une douzaine de programmes de récupération d'informations ont été testés, mais la plupart des informations ont été récupérées à l'aide du programme R-Studio, qui sera discuté plus loin, avec une description de la séquence d'actions de récupération (toutes les actions seront effectuées sous Windows 7, mais je pense que la version de Windows sur laquelle vous utilisez R-studio n'a pas d'importance).

Je dirai tout de suite que vous pouvez extraire presque tous les fichiers, mais ils seront cryptés, à l'exception des fichiers qui n'ont pas été cryptés, généralement des photos et des vidéos. Il sera possible de restaurer certains fichiers si vous disposez des utilitaires fournis par les développeurs du format de fichier correspondant. À l'aide de l'exemple ci-dessous, nous examinerons le processus de récupération d'un fichier d'archive à partir d'Outlook.

Donc la séquence d'actions :

1. Connectez un disque crypté non formaté (c'est une exigence clé ; si le disque a été formaté ou si le système d'exploitation y a été réinstallé, alors les chances de récupérer quoi que ce soit tendent à zéro), qui a traversé 2 étapes de cryptage avec la perte de le système de fichiers, à un PC exécutant Windows (connexion. Vous pouvez soit vous connecter directement à la carte mère via des ports sata/ide, soit via des adaptateurs USB, selon ce qui vous convient le mieux). Et après avoir démarré le PC, nous recevons un message indiquant la nécessité de formater le lecteur nouvellement connecté (dans mon cas, il s'agit du lecteur G).

Capture d'écran

Capture d'écran

Capture d'écran

3. Une fenêtre R-Studio s'ouvrira avec les résultats de l'analyse (voir figure ci-dessous) :

Capture d'écran

4. Sélectionnez avec la souris la ligne « Fichiers supplémentaires trouvés » et appuyez sur le bouton « Rechercher/Marquer » sur le panneau de configuration du programme.

5. Dans la fenêtre qui s'ouvre, sélectionnez une recherche par extension de fichier et spécifiez l'extension pst (format de fichier pour les dossiers d'archives Outlook) et cliquez sur le bouton « Oui ».

Capture d'écran

Capture d'écran

Capture d'écran

Capture d'écran

A) Utilisez l'utilitaire SCANPST inclus dans le package MS Office standard. Par exemple, dans MS Office 2010, cet utilitaire se trouve dans le dossier C:\Program Files (x86)\Microsoft Office\Office14\ si vous disposez de Windows 64 bits et dans le chemin C:\Program Files\Microsoft Office\Office14. lorsque vous utilisez une version 32 bits de Windows.

B) Utiliser les utilitaires développeurs tiers. Vous pouvez en trouver beaucoup sur Google.

J'ai utilisé la première option et, en principe, elle a fonctionné sur tous les PC qui m'ont été apportés pour restauration.

Je joins également un lien vers le message instructions étape par étape sur l'utilisation de l'utilitaire SCANPST.

C'est tout, les autres fichiers sont restaurés à l'aide d'un algorithme similaire, il vous suffit de remplacer l'extension de fichier souhaitée ou de faire défiler manuellement tous les dossiers dans la section « Fichiers supplémentaires trouvés » et de sélectionner exactement ce qui doit être restauré.
Si mon message semble « capitaine » à quelqu'un, ne le critiquez pas trop, tout le monde n'a pas d'expérience en matière de récupération de données et d'outils éprouvés. Si vous avez encore des questions, vous pouvez écrire en MP ou ici dans les commentaires.

Récemment, il existe une formule élégante pour calculer Pi, publiée pour la première fois en 1995 par David Bailey, Peter Borwein et Simon Plouffe :

Il semblerait : quelle est sa particularité - il existe de nombreuses formules pour calculer Pi : de méthode scolaire Monte Carlo à l'incompréhensible intégrale de Poisson et à la formule de François Vieta de fin du Moyen Âge. Mais c'est précisément cette formule qui mérite qu'on s'y intéresse. attention particulière- il permet de calculer nième signe nombres pi sans retrouver les précédents. Pour plus d'informations sur la façon dont cela fonctionne, ainsi que pour le code prêt à l'emploi en C qui calcule le 1 000 000e chiffre, veuillez vous abonner.

Comment fonctionne l’algorithme de calcul du Nième chiffre de Pi ?
Par exemple, si nous avons besoin du 1000ème chiffre hexadécimal de Pi, nous multiplions la formule entière par 16^1000, transformant ainsi le facteur devant les parenthèses en 16^(1000-k). Lors de l'exponentiation, nous utilisons l'algorithme d'exponentiation binaire ou, comme le montre l'exemple ci-dessous, l'exponentiation modulo. On calcule ensuite la somme de plusieurs termes de la série. De plus, il n'est pas nécessaire de calculer beaucoup : à mesure que k augmente, 16^(N-k) diminue rapidement, de sorte que les termes suivants n'affecteront pas la valeur des nombres requis). Tout cela est magique – brillant et simple.

La formule de Bailey-Borwine-Plouffe a été trouvée par Simon Plouffe à l'aide de l'algorithme PSLQ, qui figurait dans la liste des 10 meilleurs algorithmes du siècle en 2000. L’algorithme PSLQ lui-même a été développé par Bailey. Voici une série mexicaine sur les mathématiciens.
À propos, le temps d'exécution de l'algorithme est O(N), l'utilisation de la mémoire est O(log N), où N est numéro de série le signe souhaité.

Je pense qu'il conviendrait de citer le code en C écrit directement par l'auteur de l'algorithme, David Bailey :

/* Ce programme implémente l'algorithme BBP pour générer quelques chiffres hexadécimaux commençant immédiatement après un identifiant de position donné, ou en d'autres termes commençant à l'identifiant de position + 1. Sur la plupart des systèmes utilisant l'arithmétique à virgule flottante IEEE 64 bits, ce code fonctionne correctement tant que d est inférieur à environ 1,18 x 10 ^ 7. Si l’arithmétique sur 80 bits peut être utilisée, cette limite est nettement plus élevée. Quelle que soit l'arithmétique utilisée, les résultats pour un identifiant de position donné peuvent être vérifiés en répétant avec id-1 ou id+1, et en vérifiant que les chiffres hexadécimaux se chevauchent parfaitement avec un décalage de un, sauf éventuellement pour quelques chiffres de fin. Les fractions résultantes sont généralement précises à au moins 11 chiffres décimaux et à au moins 9 chiffres hexadécimaux. */ /* David H. Bailey 2006-09-08 */ #inclure #inclure int main() ( double pid, s1, s2, s3, s4; double série (int m, int n); void ihex (double x, int m, char c); int id = 1000000; #define NHX 16 char chx ; /* id est la position des chiffres. Les chiffres suivent immédiatement après id. */ s1 = series (1, id); s3 = series (5, id = 4. * s1 - 2. * s2); - s3 - s4; pid = pid - (int) pid + 1.; printf(" position = %i\n); fraction = %.15f \n chiffres hexadécimaux = %10.10s\n", id, pid, chx ); ) void ihex (double x, int nhx, char chx) /* Ceci renvoie, en chx, les premiers chiffres hexadécimaux nhx de la fraction de x. */ (int i; double y; char hx = "0123456789ABCDEF"; y = fabs (x); pour (i = 0; i< nhx; i++){ y = 16. * (y - floor (y)); chx[i] = hx[(int) y]; } } double series (int m, int id) /* This routine evaluates the series sum_k 16^(id-k)/(8*k+m) using the modular exponentiation technique. */ { int k; double ak, eps, p, s, t; double expm (double x, double y); #define eps 1e-17 s = 0.; /* Sum the series up to id. */ for (k = 0; k < id; k++){ ak = 8 * k + m; p = id - k; t = expm (p, ak); s = s + t / ak; s = s - (int) s; } /* Compute a few terms where k >= identifiant. */ pour (k = identifiant; k<= id + 100; k++){ ak = 8 * k + m; t = pow (16., (double) (id - k)) / ak; if (t < eps) break; s = s + t; s = s - (int) s; } return s; } double expm (double p, double ak) /* expm = 16^p mod ak. This routine uses the left-to-right binary exponentiation scheme. */ { int i, j; double p1, pt, r; #define ntp 25 static double tp; static int tp1 = 0; /* If this is the first call to expm, fill the power of two table tp. */ if (tp1 == 0) { tp1 = 1; tp = 1.; for (i = 1; i < ntp; i++) tp[i] = 2. * tp; } if (ak == 1.) return 0.; /* Find the greatest power of two less than or equal to p. */ for (i = 0; i < ntp; i++) if (tp[i] >p) pause ;<= i; j++){ if (p1 >pt = tp ;
p1 = p; r = 1. ; /* Exécute un algorithme exponentiel binaire modulo ak. */ pour (j = 1; j= pt)( r = 16. * r; r = r - (int) (r / ak) * ak; p1 = p1 - pt; ) pt = 0,5 * pt; if (pt >= 1.)( r = r * r; r = r - (int) (r / ak) * ak; ) ) return r; ) Quelles opportunités cela offre-t-il ? Par exemple : nous pouvons créer un système informatique distribué qui calcule le nombre Pi et le transmet à tout le monde. nouveau record en termes de précision des calculs (qui, soit dit en passant, est désormais de 10 000 milliards de décimales). Selon des données empiriques, partie fractionnaire Pi représente la normale

séquence de nombres

(bien qu'il n'ait pas encore été possible de le prouver de manière fiable), ce qui signifie que des séquences de chiffres peuvent être utilisées pour générer des mots de passe et simplement