Hogyan lehet visszaállítani hozzáférést az operációs rendszer vírustámadás után Petya ajánlásai
A folyamat során a tanuló vírus-titkosítást Petya.A kutatók azt találták, több változatban hatásának malware (vírus futtatásakor rendszergazdai jogosultságokkal):
A rendszer teljesen veszélybe. Visszaállítani az adatokat igényel a privát kulcsot, és a képernyőn megjelenik egy üzenet mezőbe a követelmény, hogy fizetni a váltságdíjat, hogy a legfontosabb az adatok dekódolására.
Számítógépek fertőzött részlegesen kódolt. A rendszer indításához a titkosítási folyamatot, de a külső tényezők (pl. Áramszünet, stb) megállítja a titkosítási folyamat.
Számítógép fertőzött, de a MFT titkosítási folyamat még nem kezdődött el.
Ami az első kiviteli alak - Sajnos, jelenleg még nem állapították egy módszert, amely elvégzi az adatok dekódolása garantált. A probléma megoldása aktívan szakemberek a Postai és Távközlési Minisztérium SBU, DSSTZI, ukrán és nemzetközi informatikai cégek.
Ugyanakkor, az utóbbi két esetben van esélye, hogy visszaszerezze az információt, hogy be van kapcsolva a számítógép, hiszen MFT tábla elrendezés nem törött vagy elromlott alkatrésze, ami azt jelenti, hogy azáltal, hogy helyreállítja a boot szektor MBR rendszer, a számítógép elindul és fut.
Az így módosított trójai «Petya» dolgozik több szakaszban történik:
Először is: kap elsőbbségi jog (rendszergazda jogokkal). Sok számítógépen a Windows építészet (Active Directory), ezek a jogok vannak tiltva. A vírus megtartja az eredeti boot szektort az operációs rendszer (MBR) kódolt bit működés XOR (xor 0x7), majd ír egy boot helyezni a fent említett ágazatban a többi trójai kód van írva az első szektorban a lemez. Ez a lépés létrehoz egy szöveges fájl titkosítás, de valójában az adatok nem titkosított.
Miért? Mivel a fent leírt módon - egy olyan készítmény titkosítására lemezen, és csak akkor indul el, amikor a rendszer újraindítása.
Másodszor, egy újraindítás után, majd a második szakaszban a vírus munka - adattitkosítás felé fordul a már konfiguráció ágazat, amelyben a zászló, hogy az adatok még mindig nem titkosított, és titkosítani kívánt. Ezt követően, a titkosítási folyamatot, ami a fajta munka Check Disk program.
A következő javaslatok az újbóli hozzáférést az érintett operációs rendszer, vírus, feltéve, hogy:
• A titkosítási folyamat már megkezdődött, de a külső tényezők (például áramszünet, stb.) Leállított titkosítási folyamatot;
• A folyamat az MFT titkosítás még nem kezdődött olyan tényezők miatt, amelyek nem függnek a felhasználó (nem a vírus, a reakció antivírus szoftver a hatását a vírus, stb.)
Javasoljuk, hogy végezze el az alábbi lépéseket, hogy ellenőrizze és állítsa vissza a titkosított adatok:
• Indítsuk el a gépet Windows telepítő lemezt;
• Ha a rendszert elindítani a Windows telepítő lemezt látható lesz az asztalon partíciókat, akkor elkezdheti helyreállítani az MBR folyamatot;
Miután letöltötte a Windows XP telepítő lemezt RAM PC, egy párbeszédablak „Telepítse a Windows XP Professional», amely egy kiválasztási menü, válassza az „helyreállítani a Windows XP helyreállítási konzol segítségével, nyomja meg az R». [R = helyreállítási]. Nyomja meg az «R».
Betölteni a helyreállítási konzolt.
Ha a számítógép fut egy operációs rendszer, és az (alapértelmezett) van telepítve a C meghajtón, akkor a következő üzenet jelenik meg:
„1: C: \ WINDOWS be kell jelentkeznie bármely Windows-példány?»
Írja be a kulcsot „1”, nyomja meg az «Enter» gombot.
Egy üzenet jelenik meg: „Adja meg a rendszergazda jelszót.” Írja be a jelszót, majd nyomja meg az «Enter» (ha nincs jelszó, csak nyomja meg a «Enter»).
Látnia kell egy rendszer kérés: C: \ WINDOWS> írja fixmbr
Ezután megjelenik egy üzenet: „FIGYELEM”.
„Rekord megerősítése új MBR?». Nyomja meg a «Y».
Egy üzenet jelenik meg: „Egy új master boot szektort a fizikai meghajtó \ Device \ harddisk0 \ Partition0.»
„Sikeresen létrehozott egy új master boot szektor”.
Letöltés Windows Vista. Válassza ki a nyelvet és billentyűzetkiosztást. Az üdvözlő képernyőn kattintson a „Restore számítógép működőképességét.” Windows Vista számítógép szerkesztés menüben.
Válassza ki az operációs rendszert, majd kattintson a „Tovább” gombra.
Amikor megjelenik az ablak, „System Recovery Options”, kattintson a parancssorban.
Amikor a parancssorba írja be a következő parancsot:
Várjon, amíg a művelet befejeződik. Ha minden sikerül, a képernyőn megjelenik egy megerősítő üzenetet.
Nyomja meg az «Enter» gombot, és indítsa újra a számítógépet.
Letöltés Windows 7.
Válasszon billentyűzetet.
Kattintson a „Tovább” gombra.
Válassza ki az operációs rendszert, majd kattintson a „Tovább” gombra. Ha kiválasztja az operációs rendszert ellenőrizni kell a „Használja a helyreállítási eszközöket, amelyek segítenek megoldani a problémákat a dob a Windows».
A "System Recovery Options" képernyőn, kattintson a "Command Prompt" a képernyőn, a "Windows 7 System Recovery Options"
Amikor a parancssor sikeresen betöltve, írja be a következő parancsot:
Várja meg, amíg a művelet befejeződött. Ha minden sikerül, a képernyőn megjelenik egy megerősítő üzenetet.
Nyomja meg az «Enter» gombot, és indítsa újra a számítógépet.
Letöltés Windows 8.
A „Welcome” képernyő, kattintson a „Számítógép javítása”
Windows 8 visszaállítja a számítógép menüt
Válassza ki a „Hibaelhárítás”
Válassza ki a parancssorban.
Amikor az indító parancssorban írja be az alábbi parancsokat:
Várja meg, amíg a művelet befejeződött. Ha minden sikerül, a képernyőn megjelenik egy megerősítő üzenetet.
Nyomja meg az «Enter» gombot, és indítsa újra a számítógépet.
Indítsa el a Windows 10.
Az üdvözlő képernyőn kattintson a „Számítógép javítása”
Válassza ki a „Hibaelhárítás”
Válassza ki a parancssorban.
Amikor betöltötte a parancssorba írja be a következő parancsot:
Várja meg, amíg a művelet befejeződött. Ha minden sikerül, a képernyőn megjelenik egy megerősítő üzenetet.
Nyomja meg az «Enter» gombot, és indítsa újra a számítógépet.
Miután MBR behajtási eljárások, a kutatók Javasoljuk, hogy a meghajtó víruskeresőkről fertőzött fájlokat.
Postai és Távközlési szakértők figyelmét, hogy ezek az intézkedések is releváns, ha a titkosítási folyamat kezdődött, de a felhasználó által megszakítva kikapcsolja a számítógépet a kezdeti titkosítási folyamat. Ebben az esetben, miután az operációs rendszer, akkor használhatja a szoftvert visszaállítani fájlokat (például RStudio), majd másolja fel egy külső meghajtót és újra a rendszert.
Azt is megjegyezte, hogy az adatok felhasználása hasznosítási programok rögzíti a boot szektor (például Acronis True Image), akkor ez a rész nem érintette a vírus, és vissza kell juttatni a működési állapotát a rendszer időpontjában az ellenőrzőpont.
A Postai és Távközlési mondta, hogy amellett, hogy a regisztrációs adatokat, ami azt jelzi, hogy a felhasználó a program «M.E.doc» nincs információ továbbítása.
[Összesen Szavazatok: 1 Átlag: 3/5]