Govorit ćemo o najjednostavnijim načinima za neutralizaciju virusa, posebno o blokiranju radne površine korisnika Windows 7 (porodica virusa Trojan.Winlock). Takvi virusi se razlikuju po tome što ne skrivaju svoje prisustvo u sistemu, već ga, naprotiv, demonstriraju, otežavajući što je više moguće izvođenje bilo kakvih radnji, osim unosa posebnog "koda za otključavanje", za koji se, navodno, potrebno je prenijeti određeni iznos dopune računa mobilnog telefona putem terminala za plaćanje. Ovdje je cilj jedan - natjerati korisnika da plati, a ponekad i prilično pristojan novac. Na ekranu se prikazuje prozor sa strašnim upozorenjem o blokiranju računara zbog korišćenja nelicenciranog softvera ili posećivanja neželjenih sajtova i još nešto slično, po pravilu, da uplaši korisnika. Osim toga, virus vam ne dozvoljava obavljanje bilo kakvih radnji u radnom okruženju Windows-a - blokira pritiskanje posebnih kombinacija tipki za pozivanje menija dugmeta Start, komande Pokreni, Task Manager-a itd. Pokazivač miša se ne može pomjeriti izvan prozora virusa. U pravilu, ista slika se uočava kada se Windows pokreće u sigurnom načinu rada. Situacija se čini beznadežnom, pogotovo ako nema drugog računara, mogućnosti pokretanja na drugom operativnom sistemu, ili sa prenosivih medija (LIVE CD, ERD Commander, antivirusni skener). Ali, ipak, u ogromnoj većini slučajeva postoji izlaz.
Nove tehnologije implementirane u Windows Vista/Windows 7 znatno su otežale implementaciju zlonamjernog softvera i uzimanje sistema pod punu kontrolu, a korisnicima su pružile i dodatne mogućnosti da ih se relativno lako riješe, čak i bez antivirusnog softvera (softvera). Govorimo o mogućnosti pokretanja sistema u bezbednom režimu sa podrškom komandne linije i pokretanja softvera za kontrolu i oporavak sa njega. Očigledno, iz navike, zbog prilično loše implementacije ovog načina rada u prethodnim verzijama Windows operativnih sistema, mnogi ga korisnici jednostavno ne koriste. Ali uzalud. Komandna linija Windows 7 nema uobičajenu radnu površinu (koju može blokirati virus), ali je moguće pokrenuti većinu programa - uređivač registra, upravitelj zadataka, uslužni program za vraćanje sistema itd.
Uklanjanje virusa vraćanjem sistema na tačku vraćanja
Virus je običan program, pa čak i ako se nalazi na hard disku računara, ali nema mogućnost da se automatski pokrene kada se sistem pokrene i korisnik se prijavi, onda je jednako bezopasan kao npr. , obična tekstualna datoteka. Ako je problem blokiranja automatskog pokretanja zlonamjernog programa riješen, tada se zadatak rješavanja zlonamjernog softvera može smatrati završenim. Glavna metoda automatskog pokretanja koju koriste virusi je putem posebno kreiranih unosa u registratoru koji se kreiraju kada se unesu u sistem. Ako izbrišete ove unose, virus se može smatrati neutraliziranim. Najlakši način je da izvršite oporavak kontrolne tačke. Kontrolna tačka je kopija važnih sistemskih datoteka pohranjenih u posebnom direktoriju („Informacije o sistemskom volumenu“) i koja između ostalog sadrži kopije datoteka Windows registratora. Vraćanje sistema na tačku vraćanja, čiji datum kreiranja prethodi virusnoj infekciji, omogućava vam da dobijete stanje sistemskog registra bez unosa koje je izvršio virus koji je napadao i na taj način isključite njegovo automatsko pokretanje, tj. riješite se infekcije čak i bez korištenja antivirusnog softvera. Na ovaj način možete se jednostavno i brzo riješiti zaraze sistema većinom virusa, uključujući i one koji blokiraju Windows radnu površinu. Naravno, virus blokator koji koristi, na primjer, modifikaciju sektora za pokretanje tvrdog diska (MBRLock virus) ne može se ukloniti na ovaj način, jer vraćanje sistema na točku vraćanja ne utiče na evidenciju pokretanja diskova, i neće biti moguće pokrenuti Windows u bezbednom režimu sa podrškom za komandnu liniju jer se virus učitava čak i pre pokretača Windowsa. Da biste se riješili takve infekcije, morat ćete se pokrenuti s drugog medija i vratiti zaražene zapise o pokretanju. Ali takvih virusa je relativno malo, a u većini slučajeva možete se riješiti infekcije vraćanjem sistema na tačku vraćanja.
1. Na samom početku preuzimanja pritisnite dugme F8. Na ekranu će se prikazati meni Windows pokretačkog programa, sa mogućim opcijama za učitavanje sistema
2. Odaberite opciju pokretanja sustava Windows - "Safe Mode with Command Prompt"
Nakon što se preuzimanje završi i korisnik se registruje, umjesto uobičajene Windows radne površine, prikazat će se prozor komandnog procesora cmd.exe
3. Pokrenite System Restore tako što ćete u komandnu liniju ukucati rstrui.exe i pritisnuti ENTER.
Prebacite način na "Odaberi drugu tačku vraćanja" i u sljedećem prozoru označite okvir "Prikaži druge točke vraćanja"
Nakon što odaberete Windows tačku vraćanja, možete vidjeti listu zahvaćenih programa kada se sistem vrati:
Lista zahvaćenih programa je lista programa koji su instalirani nakon što je kreirana tačka vraćanja sistema i koji će možda morati da se ponovo instaliraju jer neće biti pridruženih unosa u registratoru sa njima.
Nakon što kliknete na dugme "Završi", započinje proces oporavka sistema. Po završetku, Windows će se ponovo pokrenuti.
Nakon ponovnog pokretanja, na ekranu će se prikazati poruka o uspješnom ili neuspješnom rezultatu vraćanja i, ako je uspješan, Windows će se vratiti u stanje koje je odgovaralo datumu kada je točka vraćanja kreirana. Ako radna površina ne prestane da se zaključava, možete koristiti napredniju metodu u nastavku.
Uklanjanje virusa bez vraćanja sistema na tačku vraćanja
Moguće je da sistem iz raznih razloga ne sadrži podatke o tačkama oporavka, da je postupak oporavka završio greškom ili vraćanje nije dalo pozitivan rezultat. U tom slučaju možete koristiti alat za dijagnostiku konfiguracije sistema MSCONFIG.EXE. Kao iu prethodnom slučaju, potrebno je da pokrenete Windows u bezbednom režimu sa podrškom za komandnu liniju i ukucate msconfig.exe u prozor tumača komandne linije cmd.exe i pritisnete ENTER
Na kartici Općenito možete odabrati sljedeće načine pokretanja Windowsa:
Kada se sistem pokrene, pokrenut će se samo minimalno potrebni sistemski servisi i korisnički programi.
Selektivno lansiranje- omogućava vam da ručno postavite listu sistemskih usluga i korisničkih programa koji će biti pokrenuti tokom procesa pokretanja.
Da biste eliminirali virus, najlakši način je korištenje dijagnostičkog pokretanja, kada sam uslužni program otkrije skup programa koji se automatski pokreću. Ako u ovom načinu rada blokiranje radne površine virusom prestane, tada morate prijeći na sljedeću fazu - da odredite koji je od programa virus. Da biste to učinili, možete koristiti način selektivnog pokretanja, koji vam omogućava da omogućite ili onemogućite pokretanje pojedinačnih programa u ručnom načinu rada.
Kartica "Usluge" vam omogućava da omogućite ili onemogućite pokretanje sistemskih usluga u čijim je postavkama tip pokretanja postavljen na "Automatski". Neoznačeno polje za potvrdu ispred naziva usluge znači da se neće pokrenuti tokom procesa pokretanja sistema. Na dnu prozora uslužnog programa MSCONFIG nalazi se polje za podešavanje režima "Ne prikazuj Microsoftove usluge", kada je omogućeno, biće prikazane samo usluge trećih strana.
Imajte na umu da je vjerovatnoća zaraze sistema virusom instaliranim kao sistemska usluga vrlo niska sa standardnim sigurnosnim postavkama u Windows Vista / Windows 7, te ćete morati tražiti tragove virusa na listi automatski pokrenutih korisničkih programa ( Kartica Startup).
Baš kao i na kartici "Usluge", možete omogućiti ili onemogućiti automatsko pokretanje bilo kojeg programa koji se nalazi na listi koju prikazuje MSCONFIG. Ako se virus aktivira u sistemu automatskim pokretanjem pomoću posebnih ključeva registratora ili sadržaja mape "Startup", tada pomoću msconfig ne samo da ga možete neutralizirati, već i odrediti putanju i ime zaražene datoteke.
Uslužni program msconfig je jednostavan i zgodan alat za konfigurisanje automatskog pokretanja servisa i aplikacija koje se pokreću na standardni način za operativne sisteme porodice Windows. Međutim, autori virusa često koriste trikove koji dozvoljavaju pokretanje zlonamjernih programa bez korištenja standardnih startnih tačaka. Da biste se riješili takvog virusa s visokim stupnjem vjerovatnoće, možete koristiti gore opisanu metodu da vratite sistem na tačku vraćanja. Ako vraćanje nije moguće i upotreba msconfig nije dovela do pozitivnog rezultata, možete koristiti direktno uređivanje registra.
U procesu borbe protiv virusa, korisnik često mora izvršiti hard reboot resetiranjem (Reset) ili isključivanjem napajanja. Ovo može dovesti do situacije u kojoj pokretanje sistema počinje normalno, ali ne dolazi do registracije korisnika. Računar "visi" zbog narušavanja logičke strukture podataka u nekim sistemskim datotekama, do čega dolazi prilikom neispravnog isključivanja. Da biste riješili problem, kao iu prethodnim slučajevima, možete pokrenuti sistem u sigurnom načinu rada uz podršku komandne linije i pokrenuti naredbu za provjeru sistemskog diska
chkdsk C: / F - provjerite pogon C: ispravljajući sve pronađene greške (prekidač / F)
Pošto u trenutku pokretanja chkdsk sistemski disk zauzimaju sistemske usluge i aplikacije, chkdsk program ne može dobiti ekskluzivni pristup njemu radi testiranja. Stoga će korisnik biti zatražen porukom upozorenja i upitom da izvrši testiranje sljedeći put kada se sistem ponovo pokrene. Nakon odgovora na Y, informacije će biti unesene u registar, osiguravajući da provjera diska počinje kada se Windows ponovo pokrene. Nakon provjere, ove informacije se brišu i normalno ponovno pokretanje Windowsa se izvodi bez intervencije korisnika.
Uklonite mogućnost pokretanja virusa pomoću uređivača registra.
Da biste pokrenuli uređivač registra, kao iu prethodnom slučaju, potrebno je da pokrenete Windows u bezbednom režimu sa podrškom za komandnu liniju, ukucate regedit.exe u prozor tumača komandne linije i pritisnete ENTER Windows 7, sa standardnim bezbednosnim postavkama sistema, zaštićen je od mnoge metode pokretanja zlonamjernih programa korišćene za prethodne verzije Microsoft operativnih sistema. Instaliranje vlastitih drajvera i servisa od strane virusa, rekonfiguracija WINLOGON servisa sa povezivanjem vlastitih izvršnih modula, popravljanje ključeva registra koji se odnose na sve korisnike, itd. - sve ove metode ili ne rade u Windows 7 okruženju ili zahtijevaju tako ozbiljan rad da praktično ne sresti. U pravilu se promjene u registru koje dozvoljavaju pokretanje virusa vrše samo u kontekstu dozvola koje postoje za trenutnog korisnika, tj. pod HKEY_CURRENT_USER
Kako biste demonstrirali najjednostavniji mehanizam za zaključavanje radne površine zamjenom korisničke ljuske (ljuske) i nemogućnost korištenja uslužnog programa MSCONFIG za otkrivanje i uklanjanje virusa, možete provesti sljedeći eksperiment - umjesto virusa, možete sami prilagodite podatke registra kako biste dobili, na primjer, komandnu liniju umjesto radne površine... Poznatu radnu površinu kreira Windows Explorer (Explorer.exe) koji se pokreće kao ljuska korisnika. To osiguravaju vrijednosti parametra Shell u ključevima registratora.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- za sve korisnike.
- za trenutnog korisnika.
Parametar Shell je niz s imenom programa koji će se koristiti kao ljuska kada se korisnik prijavi na sistem. Obično je Shell parametar odsutan u ključu za trenutnog korisnika (HKEY_CURRENT_USER ili HKCU), a koristi se vrijednost iz ključa registra za sve korisnike (HKEY_LOCAL_MACHINE \ ili HKLM u skraćenom obliku).
Ovako izgleda ključ registratora HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon sa standardnom instalacijom Windows 7
Ako ovom odeljku dodate parametar niza shell, koji uzima vrijednost "cmd.exe", onda će sljedeći put kada se trenutni korisnik prijavi na sistem, umjesto standardne korisničke ljuske zasnovane na Exploreru, ljuska cmd.exe biti pokrenut i umjesto uobičajene Windows radne površine, prikazat će se prozor komandne linije...
Naravno, svaki zlonamjerni program može se pokrenuti na ovaj način i korisnik će umjesto desktopa dobiti porno baner, blokator i druge gadosti.
Za promjenu ključa za sve korisnike (HKLM ...
Ako tokom eksperimenta pokrenete uslužni program msconfig, možete osigurati da cmd.exe nije prisutan kao korisnička ljuska na listama automatski pokrenutih programa. Vraćanje sistema, naravno, omogućit će vam da vratite izvorno stanje registra i riješite se automatskog pokretanja virusa, ali ako je to iz nekog razloga nemoguće, ostaje samo direktno uređivanje registra. Da biste se vratili na standardnu radnu površinu, jednostavno uklonite parametar Shell ili promijenite njegovu vrijednost iz "cmd.exe" u "explorer.exe" i ponovo registrirajte korisnika (odjavite se i ponovo prijavite) ili ponovo pokrenite sistem. Možete uređivati registar pokretanjem uređivača registratora regedit.exe iz komandne linije ili korištenjem konzolnog uslužnog programa REG.EXE. Primjer komandne linije za uklanjanje parametra ljuske:
REG brisanje "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell
Navedeni primjer promjene korisničke ljuske danas je jedna od najčešćih tehnika koje koriste virusi u operativnom sistemu Windows 7. Prilično visok nivo sigurnosti sa standardnim sistemskim postavkama sprečava zlonamerne programe da dobiju pristup ključevima registratora koji su korišćeni za zarazu u Windows XP-u i ranijim verzijama. Čak i ako je trenutni korisnik član grupe administratora, pristup velikoj većini postavki registra koji se koriste za infekciju zahtijeva pokretanje programa kao administratora. Iz tog razloga zlonamjerni softver modificira ključeve registra kojima je trenutnom korisniku dozvoljen pristup (HKCU ključ...) Drugi važan faktor je teškoća upisivanja programskih datoteka u sistemske kataloge. Iz tog razloga većina virusa u Windows 7 koristi pokretanje izvršnih datoteka (.exe) iz direktorija privremenih datoteka (Temp) trenutnog korisnika. Prilikom analize tačaka automatskog pokretanja programa u registru, prije svega, morate obratiti pažnju na programe koji se nalaze u direktoriju privremenih datoteka. Ovo je obično imenik C: \ KORISNICI \ korisničko ime \ AppData \ Lokalno \ Temp... Tačan put direktorija privremenih datoteka može se vidjeti preko kontrolne ploče u svojstvima sistema - "Varijable okruženja". Ili na komandnoj liniji:
podešena temp
ili
echo% temp%
Osim toga, pretraživanje registra za odgovarajućim imenom direktorija za privremene datoteke ili varijable% TEMP% može se koristiti kao dodatno sredstvo za otkrivanje virusa. Pravni programi se nikada ne pokreću automatski iz TEMP direktorija.
Pogodno je koristiti poseban program Autoruns iz paketa SysinternalsSuite da biste dobili kompletnu listu mogućih automatskih tačaka pokretanja.
Najlakši načini za uklanjanje blokatora iz porodice MBRLock
Zlonamjerni programi mogu preuzeti kontrolu nad računarom ne samo tako što inficiraju operativni sistem, već i modifikuju zapise sektora za pokretanje diska sa kojeg se pokreće. Virus zamjenjuje podatke boot sektora aktivne particije svojim programskim kodom tako da umjesto Windowsa učitava jednostavan program koji bi prikazao ransomware poruku tražeći novac za lopove. Budući da virus preuzima kontrolu čak i prije pokretanja sistema, postoji samo jedan način da ga zaobiđete - da se pokrenete sa drugog medija (CD/DVD, eksterna disk jedinica, itd.) u bilo kojem operativnom sistemu na kojem je moguće povratiti programski kod boot sektori. Najlakši način je da koristite Live CD/Live USB, koji obično besplatno daje većina antivirusnih kompanija (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, itd.) i skeniranje sistema datoteka za zlonamjerni softver, uklanjanje ili dezinfekcija zaraženih datoteke. Ako nije moguće koristiti ovu metodu, onda možete proći jednostavnim pokretanjem bilo koje verzije Windows PE (instalacioni disk, ERD Commander rescue disk), što vam omogućava da vratite normalno pokretanje sistema. Obično je dovoljna čak i jednostavna mogućnost pristupa komandnoj liniji i izvršenja naredbe:
bootsect / nt60 / mbr<буква системного диска:>
bootsect / nt60 / mbr E:> - vraćanje sektora za pokretanje diska E: Ovdje treba koristiti slovo za disk koji se koristi kao uređaj za pokretanje sistema oštećenog virusom.
ili za Windows stariji od Windows Vista
bootsect / nt52 / mbr<буква системного диска:>
Uslužni program bootsect.exe može se nalaziti ne samo u sistemskim katalozima, već i na bilo kojem prenosivom mediju, može se izvršiti u okruženju bilo kojeg operativnog sistema Windows porodice i omogućava vam da vratite programski kod sektora za pokretanje bez utiče na particionu tabelu i sistem datoteka. U pravilu, prekidač / mbr nije potreban, jer vraća programski kod MBR-a, koji virusi ne modificiraju (možda još nisu modificirali).
Moj najbolji prijatelj mi je donio netbook da ga pogledam, na kojem su virusi teško hodali, i zamolio me da pomognem u čišćenju sistema iz zoološkog vrta. Prvi put sam svojim očima vidio smiješnu granu u razvoju zlonamjernog softvera: ransomware. Takvi programi blokiraju dio funkcija operativnog sistema i zahtijevaju slanje SMS poruke da bi primili kod za otključavanje. Liječenje se pokazalo ne baš beznačajnim, pa sam pomislio da će možda ova priča nekome uštedjeti nervne ćelije. Pokušao sam da obezbedim linkove ka svim sajtovima i uslužnim programima koji su bili potrebni tokom tretmana.
U ovom slučaju, virus se pretvarao da je antivirusni program Internet Security i tražio je da pošalje SMS K207815200 na broj 4460. Na web stranici Kaspersky Lab postoji stranica koja vam omogućava da generišete kodove odgovora za ransomware: support.kaspersky.ru /virusi/deblocker
Ipak, nakon uvođenja koda, funkcije OS-a ostale su blokirane, a pokretanje bilo kojeg antivirusnog programa dovelo je do trenutnog otvaranja virusnog prozora koji je marljivo emulirao rad antivirusa:
Pokušaji pokretanja u sigurnim režimima doveli su do potpuno istog rezultata. Takođe, stvar se zakomplikovala činjenicom da su lozinke za sve administratorske naloge bile prazne, a pravilo da se administratori sa praznom lozinkom podrazumevano prijavljuju na računar preko mreže.
Morao sam da pokrenem sistem sa USB fleš diska (po definiciji, netbook nema disk drajv). Najlakši način da napravite USB disk za pokretanje:
1. Formatirajte disk u NTFS
2. Učinite particiju aktivnom (diskpart -> odaberite disk x -> odaberite particiju x -> aktivno)
3. Koristimo uslužni program \ boot \ bootsect.exe iz distributivnog kompleta Vista / Windows 2008 / Windows 7: bootsect / nt60 X: / mbr
4. Kopirajte sve datoteke distributivnog kompleta (imao sam pri ruci distributivni komplet za Windows 2008) na usb disk. Sve, možete pokrenuti.
Budući da ne trebamo instalirati OS, već da liječimo viruse, kopiramo skup besplatnih iscjelitelja (AVZ, CureIt) i pomoćnih uslužnih programa na disk (gledajući unaprijed, trebao sam Streams od Marka Russinovicha) i Far. Ponovo pokrećemo netbook, postavljamo pokretanje sa USB-a u BIOS-u.
Program za podešavanje Windows 2008 je učitan, slažemo se sa izborom jezika, Instaliraj odmah i zatim pritisnite Shift + F10. Pojavljuje se prozor komandne linije iz kojeg možemo pokrenuti naše antivirusne alate i potražiti infekciju na sistemskom disku. Tada sam naišao na poteškoću, CureIt je ispustio sistem u plavi ekran smrti uz zloupotrebu zbog greške u radu sa NTFS-om, a AVZ, iako je uspio, nije mogao ništa pronaći. Očigledno je virus vrlo, vrlo svjež. Jedini trag je AVZ poruka da je pronašao izvršni kod u dodatnom NTSF toku za jednu od datoteka u Windows direktoriju. Ovo mi se činilo čudnim i sumnjivim, budući da se dodatni NTFS tokovi koriste u vrlo specifičnim slučajevima i ništa izvršno ne bi trebalo biti pohranjeno tamo na normalnim mašinama.
Tako da sam morao da preuzmem uslužni program Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) sa Marka i izbrišem ovaj stream. Njegova veličina je bila 126464 bajta, baš kao i dll fajlovi koje je virus stavio na fleš diskove umetnute u sistem.
Nakon toga, koristeći Far, pretražio sam cijeli sistemski disk u potrazi za datotekama iste veličine i pronašao još 5 ili 6 sumnjivih datoteka kreiranih u posljednja 2-3 dana. Uklonjeni su na isti način. Nakon toga, CureIt je uspio riješiti (očito je naišao na dodatne niti) i uspješno je očistio još dva Trojanca :)
Nakon ponovnog pokretanja, sve je radilo, dodatna pokretanja antivirusnih skenera nisu ništa pronašla. Uz pomoć AVZ-a, vraćene su politike koje ograničavaju funkcije OS-a. Prijatelju je dat strogi prijedlog koliko je važno koristiti antivirusni softver, pogotovo jer postoji mnogo besplatnih (
Već je prošla sedmica otkako se Petya osušila u Ukrajini. Općenito, više od pedeset zemalja širom svijeta patilo je od ovog ransomware virusa, ali 75% masovnog sajber napada pogodilo je Ukrajinu. Pogođene su vlade i finansijske institucije širom zemlje, a Ukrenergo i Kyivenergo su među prvima prijavili da su njihovi sistemi hakovani. Da bi prodro i blokirao virus Petya.A, koristio je računovodstveni program M.E.Doc. Ovaj softver je veoma popularan kod svih vrsta institucija u Ukrajini, što je postalo fatalno. Kao rezultat toga, nekim kompanijama je trebalo dugo da se oporave od Petya virusa. Neki su uspjeli da nastave s radom tek jučer, 6 dana nakon ransomware virusa.
Svrha virusa Petya
Svrha većine ransomware virusa je iznuda. Oni šifruju informacije na žrtvinom računaru i traže novac od nje da bi dobili ključ koji će nastaviti pristup šifrovanim podacima. Ali prevaranti ne drže uvijek svoju riječ. Neki ransomware jednostavno nisu dizajnirani za dešifriranje, a virus Petya je jedan od njih.
Ovu tužnu vijest objavili su stručnjaci iz Kaspersky Lab-a. Da biste povratili podatke nakon virusa ransomwarea, potreban je jedinstveni identifikator instalacije virusa. Ali u situaciji s novim virusom, on uopće ne generira identifikator, odnosno kreatori zlonamjernog softvera nisu ni razmatrali opciju vraćanja računala nakon Petya virusa.
Ali u isto vrijeme, žrtve su dobile poruku u kojoj je pozvana adresa na koju treba prenijeti 300 dolara u bitcoinima kako bi se sistem vratio. U takvim slučajevima stručnjaci ne preporučuju asistenciju hakerima, ali ipak, kreatori "Petita" uspjeli su zaraditi više od 10.000 dolara za 2 dana nakon masovnog cyber napada. No, stručnjaci su uvjereni da iznuda nije bila njihov glavni zadatak, jer je ovaj mehanizam bio loše promišljen, za razliku od drugih mehanizama virusa. Iz ovoga se može pretpostaviti da je svrha virusa Petya bila destabilizacija poslovanja globalnih preduzeća. Takođe je sasvim moguće da su hakeri jednostavno požurili i nepromišljeni deo dobijanja novca.
Oporavak računara nakon Petya virusa
Nažalost, nakon potpune infekcije sa Petyom, podaci na računaru se ne mogu oporaviti. Ipak, postoji način da otključate svoje računalo nakon Petya virusa, ako ransomware nije imao vremena da potpuno šifrira podatke. To je objavljeno na službenoj web stranici Cyberpolice 2. jula.
Postoje tri opcije za infekciju Petya
- sve informacije na računaru su potpuno šifrovane, na ekranu se prikazuje prozor sa iznudom novca;
- PC podaci su djelimično šifrirani. Proces šifriranja je prekinut vanjskim faktorima (uključujući napajanje);
- Računar je zaražen, ali proces šifriranja za MFT nije pokrenut.
U prvom slučaju sve je loše - sistem se ne može vratiti... Barem za sada.
U posljednje dvije opcije situacija je popravljiva.
Za oporavak podataka koji su djelomično šifrirani, preporučuje se učitavanje Windows instalacionog diska:
Ako tvrdi disk nije oštećen virusom šifriranja, OS za pokretanje će vidjeti datoteke i početi obnavljati MBR:
Ovaj proces ima svoje nijanse za svaku verziju Windows-a.
Windows XP
Nakon učitavanja instalacionog diska, na ekranu se pojavljuje prozor "Windows XP Professional Settings", tamo morate odabrati "da biste vratili Windows XP pomoću konzole za oporavak, pritisnite R". Nakon što pritisnete R, i konzola za oporavak će se početi učitavati.
Ako uređaji imaju instaliran jedan operativni sistem i on se nalazi na C disku, pojavit će se obavijest:
"1: C: \ WINDOWS koju kopiju Windowsa trebam koristiti za prijavu?" Shodno tome, potrebno je pritisnuti tipke "1" i "Enter".
Tada ćete vidjeti: "Unesite lozinku administratora." Unesite lozinku i pritisnite "Enter" (ako nema lozinke pritisnite "Enter").
Sistem bi trebao biti upitan: C: \ WINDOWS>, unesite fixmbr.
Tada će se pojaviti "UPOZORENJE".
Da potvrdite novi MBR zapis, pritisnite "y".
Zatim se pojavljuje obavijest "Novi MBR je u toku na fizičkom disku \ Uređaj \ Harddisk0 \ Partition0."
I: "Novi glavni zapis za pokretanje je uspješno obavljen."
Windows Vista:
Ovdje je situacija jednostavnija. Pokrenite OS, odaberite jezik i raspored tastature. Zatim će se na ekranu prikazati "Vratite svoj računar na rad". Pojavit će se meni u kojem morate odabrati "Dalje". Pojavit će se prozor s parametrima vraćenog sistema u kojem trebate kliknuti na komandnu liniju u koju trebate unijeti bootrec / FixMbr.
Nakon toga morate pričekati da se proces završi, ako je sve prošlo dobro, pojavit će se poruka potvrde - pritisnite "Enter" i računar će se početi ponovo pokretati. Sve.
Windows 7:
Proces oporavka je sličan Visti. Nakon odabira jezika i rasporeda tastature, odaberite OS, a zatim kliknite "Dalje". U novom prozoru odaberite stavku "Koristite alate za oporavak koji mogu pomoći u rješavanju problema s pokretanjem Windowsa."
Svi ostali koraci su slični Visti.
Windows 8 i 10:
Pokrenite OS, u prozoru koji se pojavi odaberite stavku Popravite računar> rješavanje problema, gdje klikom na komandnu liniju unesite bootrec / FixMbr. Nakon završetka procesa, pritisnite "Enter" i ponovo pokrenite uređaj.
Nakon što je proces oporavka MBR-a uspješno završen (bez obzira na verziju Windowsa), morate skenirati disk antivirusnim programom.
Ako je proces šifriranja pokrenuo virus, možete koristiti softver za oporavak datoteka kao što je Rstudio. Nakon što ih kopirate na prenosivi medij, morate ponovo instalirati sistem.
U slučaju kada koristite softver za oporavak podataka napisan u sektoru za pokretanje, na primjer Acronis True Image, možete biti sigurni da "Petya" nije utjecala na ovaj sektor. To znači da možete vratiti sistem u radno stanje, bez ponovne instalacije.
Ako pronađete grešku, odaberite dio teksta i pritisnite Ctrl + Enter.
:: Uvod
Nakon uklanjanja virusa, može doći do kvara na sistemu (ili da se uopće ne pokrene), može se izgubiti pristup internetu ili određenim stranicama, pa nakon prijave antivirusa " Uništeni svi virusi„Korisnik ostaje sam sa neispravnim sistemom. Takođe, problemi mogu biti uzrokovani programskim greškama ili njihovom nekompatibilnošću sa vašim sistemom. Hajde da razmotrimo opcije za rješavanje problema.
:: Internet ne radi
Uzrok problema s mrežom može biti i posljedica virusa i rada krivog softvera. Postoji nekoliko rješenja za ovaj problem. Ovdje ćemo razmotriti jednu - AntiSMS uslužni program.
Pokrenite kao administrator i izvršite potpuno vraćanje mrežnih postavki. Rad uslužnog programa je jednostavan: jedan klik miša i gotovi ste.
:: Standardno Windows System Restore
Ako vraćanje sistema nije onemogućeno na sistemu, koristite ovu standardnu Windows funkcionalnost za rješavanje problema. Takođe, ovaj način oporavka sistema je efikasan ako je oštećenje sistema uzrokovano radnjama neiskusnih korisnika ili programskim greškama.
Windows XP: Počni -> Svi programi -> Standard -> Servis -> System Restore... I odaberite tačku vraćanja nekoliko dana prije nego što se problemi pojave.
: Otvorite System Restore klikom na dugme Start. Otkucajte vraćanje sistema u polje za pretragu, a zatim izaberite Oporavak sistema sa liste rezultata. Unesite administratorsku lozinku ili potvrdite lozinku ako se to od vas zatraži. Slijedite uputstva u čarobnjaku da biste odabrali tačku vraćanja i oporavili svoj računar.
Ako se računar ne pokrene, zatim pokušajte otići do Windows siguran način rada... Da biste ga odabrali, potrebno je da odete u servisni meni - da biste ga pozvali, pritisnite više tastera F8(ili F5) odmah nakon uključivanja računara. U sigurnom načinu rada također koristite " Počni"da biste vratili sistem kako je gore opisano.
Dobro je znati: u Windowsu "7, oporavak se može pozvati pomoću stavke "Rešavanje problema sa računarom".
Windows XP meni naprednih opcija pokretanja:
Windows 7 meni naprednih opcija pokretanja:
Ako ni Safe Mode ne radi, zatim pokušajte otići do Siguran način rada s podrškom komandne linije... U ovom načinu rada dugme "Start" više neće biti, tako da ćete morati da pozovete vraćanje sistema preko komandne linije, za to u komandnoj liniji ukucajte red:
% SystemRoot% \ system32 \ restauracija \ rstrui.exe
i pritisnite tipku Enter... Ovo je za Windows "XP!
Za Windows verzije Vista / 7/8, samo unesite naredbu rstrui.exe i pritisnite Enter.
Ako ne radi i ako imate disk za pokretanje sistema Windows, onda se možete pokrenuti s njega i pokušati vratiti sistem. Pogledajmo Windows "7 kao primjer:
ubacite disk za pokretanje u računar i pokrenite sistem sa njega.
Odaberite " System Restore".
Otvoriće se prozor sa opcijama za akciju.
Odaberite stavku " Pokreni oporavak", zatim pokušajte pokrenuti na uobičajen način. Ako ne pomogne, odaberite" System Restore"(ovo je analog oporavka sistema, o čemu se govori gore) i odaberite tačku vraćanja u vrijeme normalnog rada sistema. Pokušajte da se pokrenete na uobičajeni način. Ako ovo ne pomogne, odaberite" Komandna linija"i ukucajte u komandnu liniju chkdsk c: / f / r i pritisnite Enter- pokrenut će se provjera grešaka na tvrdom disku, možda će ova provjera dati pozitivan rezultat.
:: Vrati sistemske datoteke sa sfc komandom
Ako nakon dezinfekcije Windows dođe do kvara, onda Start -> Run, unesite naredbu:
sfc / scannow
i pritisnite Enter- Windows će provjeriti integritet zaštićenih datoteka na vašem računaru. Možda će vam trebati disk za instalaciju OS-a za oporavak.
Ako ne pronađete dugme "Pokreni", onda ga možete pozvati prečicom na tastaturi [ Pobjedi] + [R]. Ako se sistem ne pokreće normalno, koristite Siguran način.
Zatim ćemo analizirati brojne programe trećih strana za oporavak sistema nakon virusa. Preporučeno koristite ih u Windows sigurnom načinu rada. Ne zaboravite na administratorska prava.
:: Oporavak pomoću Windows Repair (sve u jednom)
Popravak Windowsa (sve u jednom) je uslužni program koji će vam pomoći da popravite greške u sistemskom registru, vratite originalne postavke koje su izmijenjene kada je računar bio zaražen ili instaliran program, vratite stabilan rad Internet Explorer pretraživača, Windows Update servisa, Windows zaštitnog zida i drugih OS servisa i komponente.
Raspakujte preuzetu arhivu, a zatim pokrenite program. Neophodno ažurirajte ga: Datoteka -> Ažuriranje baze podataka.
trči " Čarobnjak za rješavanje problema" (na meniju " File").
Kliknite na " Počni". Ako AVZ pronađe bilo kakve probleme, označite okvire i kliknite" Popravite prijavljene probleme".
Zatim na meniju " File"odaberi" System Restore". Označite kućice za sve stavke, OSIM ove:
- Automatska korekcija SPl / LSP postavki;
- Resetujte SPI / LSP i TCP / IP postavke (XP +);
- Potpuno ponovno kreiranje SPI postavki;
- Zamijenite DNS svih veza sa Google DNS-om
Zatim pritisnite " Izvršite označene operacije", sačekajte malo, zatvorite program i ponovo pokrenite računar.
Ako nakon infekcije računara dođe do problema s pristupom nekim stranicama, na primjer, društvene mreže lažno prijavljuju blokiranje ili se pojavi neka vrsta lijevog reklamiranja, postoji mogućnost zamjene DNS-a zlonamjernim - u ovom slučaju možete koristiti stavka " Zamijenite DNS svih veza sa Google DNS-om". Ali to bi trebalo učiniti tek nakon provjere računara antivirusnim skenerima (ako nisu pomogli). Možete isprobati i ovu stavku ako ne možete vratiti internet nakon infekcije.
stav " Automatska korekcija SPl / LSP postavki"može se koristiti ako se pristup Internetu izgubi nakon virusa (ponovo pokrenite računar nakon aplikacije). Resetujte SPI / LSP i TCP / IP postavke (XP +)"Također je namijenjen vraćanju pristupa mreži, ali ova stavka se može koristiti samo ako ništa drugo ne pomaže (restartujte računar nakon korištenja). Ako obje gore navedene tačke nisu pomogle vraćanju interneta, postoji još jedna stavka. " Potpuno ponovno kreiranje SPI postavki"- primjenjujte samo ako ništa drugo ne pomaže. Obratite pažnju na ove tri tačke o kojima govorimo da uopće nema pristupa mreži.
:: Provjerite hard disk (chkdsk)
Ovo je standardni Windows program za provjeru grešaka na tvrdom disku. otvori " Moj kompjuter"(u Windows-u," 7 je samo " Kompjuter") uključeno Desktop ili preko menija" Počni". Odaberite željenu particiju ili disk, kliknite desnim klikom na nju, pritisnite" Svojstva", odaberite karticu" Servis" i pritisnite " Provjeri", potvrdite okvire na" Automatski popravi sistemske greške" i " Provjerite i popravite loše sektore". Ako provjeravate sistemsku particiju, morat ćete zakazati skeniranje za sljedeće pokretanje (da biste provjerili, morat ćete ponovo pokrenuti računar).
Primjer pokretanja kroz komandnu liniju: chkdsk c: / f / r
:: Windows se ne pokreće ni u jednom režimu
Windows se može srušiti ako su registrator ili sistemske datoteke oštećene. Moraćemo da koristimo LiveCD - ovo je disk ili fleš disk koji zaobilazi sistem instaliran na računaru. Morat ćete preuzeti sliku (datoteku sa iso ekstenzijom) na zdrav računar i montirati je na disk ili fleš disk, a zatim sa njega.
Koristićemo LiveCD AntiSMS: stranica za preuzimanje. Na stranici za preuzimanje postoji poseban program za pisanje na fleš disk.
Nakon pokretanja sa LiveCD-a na problematičnom računaru, videćete običnu radnu površinu. Kliknite na prečicu " AntiSMS". Nakon što uslužni program AntiSMS prijavi da je sve u redu, uklonite LiveCD i pokrenite sistem na uobičajen način. AntiSMS uslužni program vraća neke od grana registra i sistemskih datoteka koje su neophodne za ispravan rad Windowsa - možda će to biti dovoljno za vraćanje sistem.
Ako ne pomogne, pokušajte vratiti registar iz sigurnosne kopije:
za Windows "7 : pokrenite sa AntiSMS LiveCD-a i pokrenite Total Commander, koji se nalazi na ovom LiveCD-u. Idi u folder Windows \ System32 \ Config(ovo je Windows folder instaliran na problematičnom računaru). Fajlovi SISTEM i SOFTVER preimenuj u SYSTEM.bad i SOFTWARE.bad shodno tome. Zatim kopirajte datoteke iz foldera SISTEM i SOFTVER u folder Windows \ System32 \ Config Ovo bi trebalo da pomogne, pokušajte da pokrenete računar na uobičajen način.
za Windows "XP : idi u folder windows \ system32 \ config, fajlovi sistem i softvera preimenuj u system.bad i software.bad shodno tome. Zatim kopirajte datoteke sistem i softvera iz foldera prozori \ popravka u folder windows \ system32 \ config
Za referenciju: u folderu Windows \ System32 \ Config \ RegBack pohranjene sigurnosne kopije košnica registra. Oni su stvoreni Task Scheduler svakih deset dana.
Virus je vrsta zlonamjernog softvera koji prodire u područja sistemske memorije, kod drugih programa i sektore za pokretanje. Može da izbriše važne podatke sa tvrdog diska, USB diska ili memorijske kartice.
Većina korisnika ne zna kako da oporavi datoteke nakon virusnog napada. U ovom članku želimo vam reći kako to učiniti na brz i jednostavan način. Nadamo se da će vam ove informacije biti korisne. Postoje dvije glavne metode koje možete koristiti za jednostavno uklanjanje virusa i oporavak izbrisanih podataka nakon virusnog napada.
Izbrišite virus pomoću komandne linije
1) Kliknite na dugme “Start”. Unesite CMD u traku za pretraživanje. Vidjet ćete “Command Prompt” na vrhu iskačućeg prozora. Pritisnite Enter.
2) Pokrenite komandnu liniju i upišite: “attrib –h –r –s / s / d driver_name \ *. *”
Nakon ovog koraka, Windows će početi obnavljati virusom zaraženi tvrdi disk, memorijsku karticu ili USB. Trebat će neko vrijeme da se proces završi.
Da biste pokrenuli oporavak sistema Windows, kliknite na dugme „Start“. Unesite Restore u traku za pretragu. U sljedećem prozoru kliknite na “Start System Restore” → “Next” i odaberite željenu tačku vraćanja.
Druga varijanta puta je “Kontrolna tabla” → “Sistem” → “Zaštita sistema”. Pojavit će se prozor za pripremu oporavka. Zatim će se računar ponovo pokrenuti i pojavit će se poruka "Oporavak sistema je uspješno završen." Ako to nije riješilo vaš problem, pokušajte se vratiti na drugu tačku vraćanja. To je sve što treba reći o drugoj metodi.
Magic Partition Recovery: Vraćanje nedostajućih datoteka i mapa nakon virusnog napada
Za pouzdan oporavak datoteka koje su obrisali virusi, koristite Magic Partition Recovery. Program se zasniva na direktnom pristupu diska na niskom nivou. Stoga će zaobići blokiranje virusa i pročitati sve vaše datoteke.
Preuzmite i instalirajte program, a zatim analizirajte disk, fleš disk ili memorijsku karticu. Nakon analize, program prikazuje listu foldera na odabranom disku. Nakon što odaberete potrebnu mapu s lijeve strane, možete je pogledati u desnom dijelu.
Dakle, program pruža mogućnost pregleda sadržaja diska na isti način kao i kod standardnog Windows Explorera. Pored postojećih fajlova, biće prikazani i izbrisani fajlovi i fascikle. Oni će biti označeni posebnim crvenim krstom, što će znatno olakšati oporavak izbrisanih datoteka.
Ako ste izgubili svoje datoteke nakon napada virusa, Magic Partition Recovery će vam pomoći da vratite sve bez puno truda.
