Kaip atkurti prieigą prie operacinės sistemos po Petya viruso atakos: Ukrainos kibernetinės policijos rekomendacijos

Ukrainos nacionalinės policijos Kibernetinės policijos departamentas paskelbė naudotojams rekomendacijas, kaip atkurti prieigą prie kompiuterių, patyrusių Petya.A šifravimo viruso kibernetinę ataką.

Tirdami Petya.A išpirkos reikalaujantį virusą, mokslininkai nustatė keletą kenkėjiškų programų poveikio variantų (kai virusas paleistas administratoriaus teisėmis):

Sistema yra visiškai pažeista. Norint atkurti duomenis, reikalingas privatus raktas, o ekrane pasirodo langas, kuriame prašoma sumokėti išpirką, kad gautumėte raktą duomenims iššifruoti.

Kompiuteriai yra užkrėsti ir iš dalies užšifruoti. Sistema pradėjo šifravimo procesą, bet išoriniai veiksniai(pvz.: nutrūko maitinimas ir pan.) sustabdė šifravimo procesą.

Kompiuteriai užkrėsti, tačiau MFT lentelės šifravimo procesas dar nepradėtas.

Kalbant apie pirmąjį variantą, deja, šiuo metu dar nėra sukurto metodo, kuris garantuotų duomenų iššifravimą. Kibernetinės policijos departamento, SBU, DSSTZI, Ukrainos ir tarptautinių IT įmonių specialistai aktyviai stengiasi išspręsti šią problemą.

Tuo pačiu metu dviese naujausi atvejai yra galimybė atkurti kompiuteryje esančią informaciją, nes MFT skaidymo lentelė nėra sugadinta arba iš dalies sugadinta, o tai reiškia, kad atkūrus sistemos MBR įkrovos sektorių, kompiuteris įsijungs ir veiks.

Taigi modifikuota Trojos programa „Petya“ veikia keliais etapais:

Pirma: privilegijuotųjų teisių (administratoriaus teisių) gavimas. Daugelyje „Windows“ architektūros („Active Directory“) kompiuterių šios teisės yra išjungtos. Virusas išlaiko pradinį įkrovos sektorių Operacinė sistema(MBR) šifruota XOR bitų operacijos forma (xor 0x7), o tada vietoj aukščiau nurodyto sektoriaus įrašo savo įkrovos įkroviklį, o likusi Trojos arklys kodo dalis įrašoma į pirmuosius disko sektorius. Šis veiksmas sukuria tekstinį failą apie šifravimą, tačiau duomenys dar nėra užšifruoti.

Kodėl taip? Nes tai, kas aprašyta aukščiau, yra tik pasiruošimas disko šifravimui ir jis prasidės tik iš naujo paleidus sistemą.

Antra: po perkrovimo prasideda antrasis viruso veikimo etapas - duomenų šifravimas, dabar jis pereina į savo konfigūracijos sektorių, kuriame uždedama vėliavėlė, kad duomenys dar nešifruoti ir juos reikia šifruoti. Po to prasideda šifravimo procesas, kuris atrodo kaip programa „Check Disk“.

Šifravimo procesas buvo pradėtas, tačiau išoriniai veiksniai (pvz.: elektros energijos tiekimas ir pan.) sustabdė šifravimo procesą;
MFT lentelės šifravimo procesas dar neprasidėjo dėl veiksnių, kurie nepriklausė nuo vartotojo (viruso gedimas, antivirusinės programinės įrangos reakcija į viruso veiksmus ir kt.).

Paleisti iš diegimo Windows diskas;

Jei po paleidimo iš „Windows“ diegimo disko matoma lentelė su standžiojo disko skaidiniais, galite pradėti MBR atkūrimo procesą;

„Windows XP“:

Įkėlę Windows XP diegimo diską į RAM PC, pasirodo dialogo langas „Įdiegti Windows XP Professional“, kuriame yra pasirinkimo meniu, turite pasirinkti parinktį „Norėdami atkurti Windows XP naudojant atkūrimo konsolę, paspauskite R“. . Paspauskite "R" klavišą.

Bus įkelta atkūrimo konsolė.

Jei kompiuteryje įdiegta viena OS ir ji (pagal numatytuosius nustatymus) įdiegta C diske, pasirodys šis pranešimas:

"1:C:\WINDOWS Prie kokios Windows kopijos turėčiau prisijungti?"

Įveskite klavišą „1“, paspauskite klavišą „Enter“.

Pasirodys pranešimas: „Įveskite administratoriaus slaptažodį“. Įveskite slaptažodį, paspauskite „Enter“ (jei slaptažodžio nėra, tiesiog paspauskite „Enter“).

Turėtų pasirodyti sistemos raginimas: C:\WINDOWS> įveskite fixmbr

Tada pasirodys pranešimas „ĮSPĖJIMAS“.

„Ar patvirtinate naujojo MBR įvedimą? Paspauskite "Y" klavišą.

Pasirodys pranešimas: „Fiziniame diske \Device\Harddisk0\Partition0 kuriamas naujas pagrindinis įkrovos sektorius.

"Sėkmingai sukurtas naujas pagrindinis įkrovos sektorius."

„Windows Vista“:

Atsisiųskite „Windows Vista“. Pasirinkite kalbą ir klaviatūros išdėstymą. Pasisveikinimo ekrane spustelėkite „Atkurti kompiuterį“. Windows Vista redaguoja kompiuterio meniu.

Pasirinkite savo operacinę sistemą ir spustelėkite Pirmyn.

Kai pasirodys sistemos atkūrimo parinkčių langas, spustelėkite komandų eilutę.

Kai pasirodys komandų eilutė, įveskite komandą:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

„Windows 7“:

Atsisiųskite „Windows 7“.

Pasirinkite kalbą.

Pasirinkite klaviatūros išdėstymą.

Pasirinkite savo operacinę sistemą ir spustelėkite Pirmyn. Renkantis operacinę sistemą, turėtumėte pažymėti "Naudoti atkūrimo įrankius, kurie gali padėti išspręsti problemas paleidžiant "Windows".

Sistemos atkūrimo parinkčių ekrane spustelėkite komandų eilutės mygtuką, esantį „Windows 7“ sistemos atkūrimo parinkčių ekrane

Kai komandų eilutė sėkmingai paleidžiama, įveskite komandą:

bootrec/fixmbr

Paspauskite Enter ir paleiskite kompiuterį iš naujo.

Skirta „Windows 8“.

Atsisiųskite „Windows 8“.

Sveikinimo ekrane spustelėkite mygtuką Atkurti kompiuterį

„Windows 8“ atkurs kompiuterio meniu

Pasirinkite komandų eilutę.

Kai įkeliama komandų eilutė, įveskite šias komandas:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

Paspauskite Enter ir paleiskite kompiuterį iš naujo.

Skirta „Windows 10“.

Atsisiųskite „Windows 10“.

Pasisveikinimo ekrane spustelėkite mygtuką „Pataisyti kompiuterį“.

Pasirinkite "Trikčių šalinimas"

Pasirinkite komandų eilutę.

Kai įkeliama komandų eilutė, įveskite komandą:

bootrec/FixMbr

Palaukite, kol operacija bus baigta. Jei viskas bus sėkminga, ekrane pasirodys patvirtinimo pranešimas.

Paspauskite Enter ir paleiskite kompiuterį iš naujo.

Po MBR atkūrimo procedūros mokslininkai rekomenduoja nuskaityti diską antivirusinėmis programomis, ar nėra užkrėstų failų.

Kibernetinės policijos ekspertai tai pastebi nurodytus veiksmus taip pat svarbūs, jei šifravimo procesas buvo pradėtas, bet vartotojas jį nutraukė išjungdamas kompiuterio maitinimą pradinis procesasšifravimas. IN tokiu atveju, įkėlus OS, galite naudoti programinė įranga norėdami atkurti failus (pvz., RStudio), tada nukopijuokite juos į išorinę laikmeną ir iš naujo įdiekite sistemą.

Taip pat pažymima, kad jei naudojate duomenų atkūrimo programas, kurios įrašo jų įkrovos sektorių (pvz., Acronis True Image), virusas šio skaidinio nepaliečia ir galite grąžinti sistemos darbinę būseną į kontrolinio taško datą.

Kibernetinė policija pranešė, kad, išskyrus M.E.doc programos vartotojų pateiktus registracijos duomenis, jokia informacija nebuvo perduota.

Prisiminkime, kad 2017 metų birželio 27 dieną Ukrainos įmonių ir vyriausybinių įstaigų IT sistemose prasidėjo plataus masto Petya.A šifravimo viruso kibernetinė ataka.

Tyrėjai ir kibernetinio saugumo ekspertai praneša, kad virusas, kuris labiausiai nukentėjo nuo atakos Ukrainoje, kur virusas iš pradžių buvo nukreiptas, buvo sukurtas sąmoningai siekiant visiškai išjungti aukų mašinas ir jame nėra informacijos iššifravimo sistemos. Jei Petya.C virusas užkrėtė kompiuterį, tam tikrame etape vartotojas vis tiek gali iš naujo paleisti sistemą, tačiau informacijos iššifruoti nebebus įmanoma.

Kompanijų „Cybersecurity and Co.“ ir „Positive Technologies“ atstovai, taip pat oficialus Ukrainos SBU atstovas teigė, kad pasirodžius pirmiesiems infekcijos požymiams vienintelis kelias Norėdami išvengti informacijos šifravimo, išjunkite kompiuterį.

Kai kenkėjiškas kodas patenka į aukos įrenginį, virusas sukuria uždelstą užduotį įrenginiui paleisti iš naujo. Iki tol galite paleisti bootrec /fixMbr, kad pataisytumėte skaidinį. Dėl šios priežasties sistema veiks, tačiau failai vis tiek bus užšifruoti. Tai bilietas į vieną pusę. Petya.C veikia taip, kad užsikrėtęs generuoja specialų iššifravimo raktą, kuris beveik iš karto ištrinamas.

Sėkmingai užšifravus kompiuterio informaciją, ekrane pasirodo pranešimas, reikalaujantis sumokėti 300 USD bitkoinais, kad gautumėte informacijos iššifravimo raktą. Į įsilaužėlių sąskaitą jau buvo įnešti keli tūkstančiai dolerių, tačiau nė viena iš aukų negavo reikiamo kodo. Faktas yra tas, kad Vokietijos paslaugų teikėjas El. paštas užblokavo užpuolikų pašto dėžutę – tai buvo vienintelis būdas susisiekti su programišiais. Be to, Kaspersky Lab atstovai pranešė, kad patys Petya.C autoriai neturi fizinį pajėgumą iššifruoti savo aukų kompiuterius, nes virusas nenumato aukos kompiuterių identifikatoriaus sukūrimo, kuris leistų įsilaužėliams išsiųsti raktą.

Norėdami užšifruoti įrenginius, Petya.C naudoja EternalBlue pažeidžiamumą, kurį NSA nutekino anksčiau šiais metais. Tą patį išnaudojimą gegužę panaudojo ir WannaCry išpirkos reikalaujančios programinės įrangos kūrėjai. „Microsoft“ išleido reikiamus pataisymus dar šių metų kovo mėnesį ir netgi atnaujino „Windows XP“, kad būtų išvengta tolesnių infekcijų. Bendrovė perspėjo, kad tokie išpuoliai iš didelė dalis tikimybės kartosis, todėl vartotojai turi kuo greičiau atnaujinti savo kompiuterius. Niekas neneigia fakto, kad ateityje gali atsirasti dar viena Vasia ar Lyosha, kuri bandys pakartoti WannaCry ar Petya.C „sėkmę“.

Prisiminkime, kad „Microsoft“ paskelbė apie daugybę „Windows 10“ saugos sistemų pakeitimų, kurie atliekami siekiant išvengti pasikartojančių atakų ateityje. Bendrovė jau padarė (ji buvo naudojama WannaCry ir Petya.C atakose) ir taip pat pridės, todėl bus sunkiau panaudoti išnaudojimą aukos kompiuteriui užkrėsti.

2017-06-27 tiems, kurie nedaro atsarginių kopijų į keičiamąsias laikmenas, tapo juodiausia diena, kai Petya wiper virusas vos per pusvalandį savo darbo sunaikino kažkieno savaitę, o kažkieno 10-12 metų darbo ir archyvuoja vertingus failus. , duomenų bazės ir kiti dalykai. Priverstas pradėti gyvenimą su švarus šiferis. Tačiau yra galimybė išsaugoti bent „Outlook“ archyvus ir nuotraukas. Detalės po pjūviu.
Virusas veikė dviem etapais: užšifravo failus (ne visus ir ne iki galo), tada inicijavo perkrovimą ir po perkrovimo užšifravo kietojo disko įkrovos įkroviklį (MBR). Dėl to kietasis diskas virto sąlyginiu „moliūgu“, iš kurio nieko nepavyko ištraukti.
Jei kompiuteris išgyveno tik pirmąjį etapą, tada atkūrę MBR galite visiškai toliau dirbti su kompiuteriu ir stebėti failų šifruotojo pasekmes bei ieškoti išlikusių. Jei kompiuteris išgyveno du etapus, tada viskas yra daug blogiau ir net tiesiog ištraukti failus yra daug sunkiau.

„RuNet“ praktiškai neieškoma informacijos, kaip išsaugoti informaciją iš tokio kietojo disko, todėl turėjau empiriškai pasirinkti optimalią strategiją, kaip ieškoti ir atkurti to, kas galėtų išlikti. Buvo išbandyta apie keliolika informacijos atkūrimo programų, tačiau didžioji dalis informacijos buvo paimta naudojant R-Studio programą, kuri bus aptarta toliau, su atkūrimo veiksmų sekos aprašymu (visi veiksmai bus atliekami naudojant „Windows 7“, bet manau, kad nesvarbu, kokia „Windows“ versija veikia tik „R-studio“).

Iš karto pasakysiu, kad galite išgauti beveik visus failus, tačiau jie bus užšifruoti, išskyrus tuos, kurie nebuvo užšifruoti, dažniausiai nuotraukas ir vaizdo įrašus. Kai kuriuos failus bus galima atkurti, jei turėsite atitinkamo failo formato kūrėjų teikiamas paslaugas. Naudodami toliau pateiktą pavyzdį apžvelgsime archyvo failo iš "Outlook" gelbėjimo procesą.

Taigi veiksmų seka:

1. Prijunkite neformatuotą šifruotą diską (tai yra pagrindinis reikalavimas; jei diskas buvo suformatuotas arba jame iš naujo įdiegta OS, tada tikimybė ką nors atkurti yra lygi nuliui), kuris praėjo 2 šifravimo etapus ir prarado failų sistema, prie kompiuterio, kuriame veikia Windows (prijungti Galite tiesiogiai prisijungti prie pagrindinės plokštės per sata/ide prievadus arba per USB adapterius, atsižvelgiant į tai, kas jums patogiau). Ir paleidę kompiuterį gauname pranešimą apie tai, kad reikia suformatuoti naujai prijungtą diską (mano atveju tai yra G diskas).

Ekrano kopija

Ekrano kopija

Ekrano kopija

3. Atsidarys „R-Studio“ langas su nuskaitymo rezultatais (žr. paveikslėlį žemiau):

Ekrano kopija

4. Su pele pasirinkite eilutę „Papildomi rasti failai“ ir programos valdymo skydelyje paspauskite mygtuką „Rasti/žymėti“.

5. Atsidariusiame lange pasirinkite paiešką pagal failo plėtinį ir nurodykite pst plėtinį (failo formatas Outlook archyvo aplankams) ir spustelėkite mygtuką „Taip“.

Ekrano kopija

Ekrano kopija

Ekrano kopija

Ekrano kopija

A) Naudokite SCANPST priemonę, įtrauktą į standartinį MS Office paketą. Pavyzdžiui, „MS Office 2010“ ši priemonė yra aplanke C:\Program Files (x86)\Microsoft Office\Office14\, jei turite 64 bitų „Windows“ ir kelyje C:\Program Files\Microsoft Office\Office14. kai naudojate 32 bitų „Windows“ versiją.

B) Naudokite komunalines paslaugas trečiųjų šalių kūrėjai. Daug jų galite rasti Google.

Naudojau pirmą variantą ir iš esmės jis veikė visuose kompiuteriuose, kurie man buvo atvežti restauruoti.

Taip pat pridedu nuorodą prie įrašo žingsnis po žingsnio instrukcijas apie darbą su SCANPST programa.

Tai viskas, kiti failai atkuriami naudojant panašų algoritmą, tereikia pakeisti norimą failo plėtinį arba rankiniu būdu slinkti per visus aplankus skiltyje „Papildomi failai“ ir pasirinkti, ką tiksliai reikia atkurti.
Jei mano įrašas kam nors atrodo „kapitonas“, prašau per daug jo nekritikuoti, ne visi turi duomenų atkūrimo patirties ir patikrintų įrankių. Jei vis dar turite klausimų, galite rašyti į PM arba čia į komentarus.

Neseniai atsirado elegantiška Pi apskaičiavimo formulė, kurią 1995 m. pirmą kartą paskelbė Davidas Bailey, Peteris Borweinas ir Simonas Plouffe'as:

Atrodytų: kuo tai ypatinga - yra daugybė Pi skaičiavimo formulių: iš mokyklos metodas Monte Karlas iki nesuprantamo Puasono integralo ir François Vietos formulės iš vėlyvieji viduramžiai. Tačiau būtent į šią formulę verta atkreipti dėmesį Ypatingas dėmesys- leidžia apskaičiuoti n-asis ženklas skaičiai pi nerasdami ankstesnių. Norėdami gauti informacijos apie tai, kaip tai veikia, taip pat paruošto kodo C, kuris apskaičiuoja 1 000 000 skaitmenį, užsiprenumeruokite.

Kaip veikia N-ojo Pi skaitmens apskaičiavimo algoritmas?
Pavyzdžiui, jei mums reikia 1000-ojo šešioliktainio Pi skaitmens, visą formulę padauginame iš 16^1000, tokiu būdu prieš skliaustus esantį koeficientą paverčiame 16^(1000-k). Kai didiname, naudojame dvejetainį eksponencijos algoritmą arba, kaip parodys toliau pateiktame pavyzdyje, modulinį eksponentą. Po to apskaičiuojame kelių serijos narių sumą. Be to, nebūtina skaičiuoti daug: k didėjant, 16^(N-k) greitai mažėja, todėl tolesni terminai neturės įtakos reikiamų skaičių reikšmei). Visa tai magija – puiku ir paprasta.

Bailey-Borwine-Plouffe formulę Simonas Plouffe'as rado naudodamas PSLQ algoritmą, kuris 2000 metais buvo įtrauktas į 10 geriausių šimtmečio algoritmų sąrašą. Patį PSLQ algoritmą savo ruožtu sukūrė Bailey. Štai meksikietiškas serialas apie matematikus.
Beje, algoritmo veikimo laikas yra O(N), atminties naudojimas O(log N), kur N yra serijos numeris norimą ženklą.

Manau, būtų tikslinga cituoti kodą C, kurį tiesiogiai parašė algoritmo autorius Davidas Bailey:

/* Ši programa įgyvendina BBP algoritmą, kad sugeneruotų kelis šešioliktainius skaitmenis, prasidedančius iškart po nurodytos pozicijos id, arba, kitaip tariant, prasidedančius nuo pozicijos id + 1. Daugumoje sistemų, naudojančių IEEE 64 bitų slankiojo kablelio aritmetiką, šis kodas veikia tinkamai. tol, kol d yra mažesnis nei apytiksliai 1,18 x 10^7. Jei galima naudoti 80 bitų aritmetiką, ši riba yra žymiai didesnė. Kad ir kokia aritmetika būtų naudojama, tam tikros pozicijos ID rezultatus galima patikrinti pakartojant su id-1 arba id+1 ir patikrinant, ar šešioliktainiai skaitmenys puikiai sutampa su vieneto poslinkiu, išskyrus kelis galinius skaitmenis. Gautos trupmenos paprastai yra mažiausiai 11 dešimtainių skaitmenų ir mažiausiai 9 šešioliktainių skaitmenų. */ /* David H. Bailey 2006-09-08 */ #įtraukti #įtraukti int main() ( double pid, s1, s2, s3, s4; dviguba serija (int m, int n); void ihex (double x, int m, char c); int id = 1000000; #define NHX 16 char chx ; /* id yra skaitmenys, sekantys iškart po id - s3 - s4 ); ) void ihex (dvigubas x, int nhx, char chx) /* Grąžina pirmuosius nhx šešioliktainius x trupmenos skaitmenis. */ ( int i; double y; char hx = "0123456789ABCDEF"; y = fabs (x); jei (i = 0; i< nhx; i++){ y = 16. * (y - floor (y)); chx[i] = hx[(int) y]; } } double series (int m, int id) /* This routine evaluates the series sum_k 16^(id-k)/(8*k+m) using the modular exponentiation technique. */ { int k; double ak, eps, p, s, t; double expm (double x, double y); #define eps 1e-17 s = 0.; /* Sum the series up to id. */ for (k = 0; k < id; k++){ ak = 8 * k + m; p = id - k; t = expm (p, ak); s = s + t / ak; s = s - (int) s; } /* Compute a few terms where k >= id. */ for (k = id; k<= id + 100; k++){ ak = 8 * k + m; t = pow (16., (double) (id - k)) / ak; if (t < eps) break; s = s + t; s = s - (int) s; } return s; } double expm (double p, double ak) /* expm = 16^p mod ak. This routine uses the left-to-right binary exponentiation scheme. */ { int i, j; double p1, pt, r; #define ntp 25 static double tp; static int tp1 = 0; /* If this is the first call to expm, fill the power of two table tp. */ if (tp1 == 0) { tp1 = 1; tp = 1.; for (i = 1; i < ntp; i++) tp[i] = 2. * tp; } if (ak == 1.) return 0.; /* Find the greatest power of two less than or equal to p. */ for (i = 0; i < ntp; i++) if (tp[i] >p) pertrauka;<= i; j++){ if (p1 >pt = tp;
p1 = p; r = 1; /* Atlikti dvejetainį eksponentinį algoritmą modulo ak. */ už (j = 1; j= pt)( r = 16. * r; r = r - (int) (r / ak) * ak; p1 = p1 - pt; ) pt = 0,5 * pt; if (pt >= 1.)( r = r * r; r = r - (int) (r / ak) * ak; ) ) grąžinti r; ) Kokias galimybes tai suteikia? Pavyzdžiui: galime sukurti paskirstytą skaičiavimo sistemą, kuri apskaičiuoja skaičių Pi ir pristato jį visiems naujas įrašas kalbant apie skaičiavimo tikslumą (kuris dabar, beje, yra 10 trilijonų skaitmenų po kablelio). Remiantis empiriniais duomenimis, trupmena Pi reiškia normalų

skaičių seka

(nors to dar nepavyko patikimai įrodyti), o tai reiškia, kad skaičių sekas iš jo galima naudoti generuojant slaptažodžius ir tiesiog