Govorit ćemo o najjednostavnijim načinima neutralizacije virusa, posebice o blokiranju korisničke radne površine Windows 7 (porodica virusa Trojan.Winlock). Takvi se virusi razlikuju po tome što ne skrivaju svoju prisutnost u sustavu, već je, naprotiv, pokazuju, što je moguće više otežavaju izvođenje bilo kakvih radnji, osim unosa posebnog "koda za otključavanje", za koji se, navodno, potrebno je prenijeti određeni iznos nadopune računa mobilnog telefona putem terminala za plaćanje. Ovdje je cilj jedan - natjerati korisnika da plati, a ponekad i prilično pristojan novac. Na ekranu se prikazuje prozor s strašnim upozorenjem o blokiranju računala zbog korištenja nelicenciranog softvera ili posjećivanja neželjenih web-mjesta i nešto drugo te vrste, u pravilu, da preplaši korisnika. Osim toga, virus vam ne dopušta obavljanje bilo kakvih radnji u radnom okruženju Windows - blokira pritiskanje posebnih kombinacija tipki za pozivanje izbornika gumba Start, naredbu Pokreni, Upravitelj zadataka itd. Pokazivač miša ne može se pomicati izvan prozora virusa. U pravilu se ista slika opaža prilikom podizanja sustava Windows u sigurnom načinu rada. Situacija se čini bezizlaznom, pogotovo ako nema drugog računala, mogućnosti podizanja sustava u drugom operativnom sustavu ili s prijenosnog medija (LIVE CD, ERD Commander, antivirusni skener). No, ipak, u velikoj većini slučajeva postoji izlaz.
Nove tehnologije implementirane u Windows Vista/Windows 7 uvelike su otežale implementaciju zlonamjernog softvera i uzimanje sustava pod potpunu kontrolu, a također su korisnicima pružile dodatne mogućnosti da ih se relativno lako riješe, čak i bez antivirusnog softvera (softvera). Govorimo o mogućnosti podizanja sustava u sigurnom načinu rada s podrškom za naredbeni redak i pokretanja softvera za kontrolu i oporavak iz njega. Očito, iz navike, zbog prilično loše implementacije ovog načina rada u prethodnim verzijama Windows operativnih sustava, mnogi ga korisnici jednostavno ne koriste. Ali uzalud. Naredbeni redak sustava Windows 7 nema uobičajenu radnu površinu (koju može blokirati virus), ali je moguće pokrenuti većinu programa - uređivač registra, upravitelj zadataka, uslužni program za vraćanje sustava itd.
Uklanjanje virusa vraćanjem sustava na točku vraćanja
Virus je običan program, pa čak i ako se nalazi na tvrdom disku računala, ali nema mogućnost automatskog pokretanja kada se sustav pokrene i korisnik se prijavi, onda je jednako bezopasan kao npr. , obična tekstualna datoteka. Ako je problem blokiranja automatskog pokretanja zlonamjernog programa riješen, tada se zadatak rješavanja zlonamjernog softvera može smatrati dovršenim. Glavna metoda automatskog pokretanja koju koriste virusi je putem posebno izrađenih unosa u registru koji se stvaraju kada se ubrizgavaju u sustav. Ako izbrišete ove unose, virus se može smatrati neutraliziranim. Najlakši način je izvršiti oporavak kontrolne točke. Kontrolna točka je kopija važnih sistemskih datoteka pohranjenih u posebnom direktoriju ("Informacije o volumenu sustava") i koja između ostalog sadrži kopije datoteka registra sustava Windows. Vraćanje sustava na točku vraćanja, čiji datum kreiranja prethodi zarazi virusom, omogućuje vam da dobijete stanje registra sustava bez unosa koje je napravio virus koji je napadao i na taj način isključite njegovo automatsko pokretanje, tj. riješite se infekcije čak i bez korištenja antivirusnog softvera. Na taj način možete se jednostavno i brzo riješiti zaraze sustava većinom virusa, uključujući i one koji blokiraju radnu površinu sustava Windows. Naravno, virus za blokiranje koji koristi, na primjer, modifikaciju sektora za pokretanje tvrdog diska (MBRLock virus) ne može se ukloniti na ovaj način, jer vraćanje sustava na točku vraćanja ne utječe na zapise o pokretanju diskova, i neće biti moguće pokrenuti Windows u sigurnom načinu rada s podrškom za naredbeni redak.jer se virus učitava čak i prije pokretača sustava Windows. Da biste se riješili takve infekcije, morat ćete se pokrenuti s drugog medija i vratiti zaražene zapise o pokretanju. No takvih virusa je relativno malo, a u većini slučajeva možete se riješiti infekcije vraćanjem sustava na točku vraćanja.
1. Na samom početku preuzimanja pritisnite tipku F8. Na zaslonu će se prikazati izbornik pokretača sustava Windows s mogućim opcijama za učitavanje sustava
2. Odaberite opciju pokretanja sustava Windows - "Safe Mode with Command Prompt"
Nakon dovršetka preuzimanja i registracije korisnika, umjesto uobičajene Windows radne površine, prikazat će se prozor procesora naredbi cmd.exe
3. Pokrenite Vraćanje sustava tako da u naredbeni redak upišete rstrui.exe i pritisnete ENTER.
Prebacite način na "Odaberi drugu točku vraćanja" i u sljedećem prozoru označite okvir "Prikaži druge točke vraćanja"
Nakon što odaberete točku vraćanja sustava Windows, možete vidjeti popis zahvaćenih programa kada se sustav vrati:
Popis zahvaćenih programa je popis programa koji su instalirani nakon što je stvorena točka vraćanja sustava i koji će se možda morati ponovno instalirati jer s njima neće biti pridruženih unosa u registru.
Nakon što kliknete na gumb "Završi", započet će proces oporavka sustava. Po završetku, Windows će se ponovno pokrenuti.
Nakon ponovnog pokretanja, na zaslonu će se prikazati poruka o uspješnom ili neuspješnom rezultatu vraćanja i, ako je uspješan, Windows će se vratiti u stanje koje je odgovaralo datumu stvaranja točke vraćanja. Ako se vaša radna površina ne prestane zaključavati, možete koristiti napredniju metodu u nastavku.
Uklanjanje virusa bez vraćanja sustava na točku vraćanja
Moguće je da sustav iz raznih razloga ne sadrži podatke o točkama oporavka, postupak oporavka je završio s greškom ili vraćanje nije dalo pozitivan rezultat. U tom slučaju možete koristiti dijagnostički alat za konfiguraciju sustava MSCONFIG.EXE. Kao i u prethodnom slučaju, trebate pokrenuti Windows u sigurnom načinu rada s podrškom za naredbeni redak i upisati msconfig.exe u prozor tumača naredbenog retka cmd.exe i pritisnuti ENTER
Na kartici Općenito možete odabrati sljedeće načine pokretanja sustava Windows:
Kada se sustav pokrene, pokrenut će se samo minimalno potrebni sustavni servisi i korisnički programi.
Selektivno lansiranje- omogućuje vam da ručno postavite popis usluga sustava i korisničkih programa koji će biti pokrenuti tijekom procesa pokretanja.
Da biste uklonili virus, najlakši način je korištenje dijagnostičkog pokretanja, kada sam uslužni program otkrije skup programa koji se automatski pokreću. Ako u ovom načinu rada blokiranje radne površine virusom prestane, tada morate prijeći na sljedeću fazu - da biste utvrdili koji je od programa virus. Da biste to učinili, možete koristiti način selektivnog pokretanja koji vam omogućuje da omogućite ili onemogućite pokretanje pojedinačnih programa u ručnom načinu rada.
Kartica "Usluge" omogućuje vam da omogućite ili onemogućite pokretanje usluga sustava, u čijim je postavkama tip pokretanja postavljen na "Automatski". Neoznačeni potvrdni okvir ispred naziva usluge znači da se neće pokrenuti tijekom procesa pokretanja sustava. Na dnu prozora uslužnog programa MSCONFIG nalazi se polje za postavljanje načina rada "Ne prikazuj Microsoftove usluge", kada je omogućeno, prikazat će se samo usluge trećih strana.
Imajte na umu da je vjerojatnost zaraze sustava virusom instaliranim kao sistemska usluga vrlo niska sa standardnim sigurnosnim postavkama u sustavu Windows Vista/Windows 7, te ćete morati tražiti tragove virusa na popisu automatski pokrenutih korisničkih programa ( Kartica Startup).
Baš kao i na kartici "Usluge", možete omogućiti ili onemogućiti automatsko pokretanje bilo kojeg programa koji se nalazi na popisu koji prikazuje MSCONFIG. Ako se virus aktivira u sustavu automatskim pokretanjem pomoću posebnih ključeva registra ili sadržaja mape "Startup", tada ga pomoću msconfig možete ne samo neutralizirati, već i odrediti put i naziv zaražene datoteke.
Uslužni program msconfig jednostavan je i prikladan alat za konfiguriranje automatskog pokretanja usluga i aplikacija koje se pokreću na standardni način za operativne sustave obitelji Windows. Međutim, autori virusa često koriste trikove koji omogućuju pokretanje zlonamjernih programa bez korištenja standardnih točaka pokretanja. Da biste se riješili takvog virusa s visokim stupnjem vjerojatnosti, možete koristiti gore opisanu metodu za vraćanje sustava na točku vraćanja. Ako vraćanje nije moguće i korištenje msconfig nije dovelo do pozitivnog rezultata, možete koristiti izravno uređivanje registra.
U procesu borbe protiv virusa, korisnik često mora izvršiti hard reboot resetiranjem (Reset) ili isključivanjem napajanja. To može dovesti do situacije u kojoj pokretanje sustava počinje normalno, ali ne dolazi do registracije korisnika. Računalo "visi" zbog kršenja logičke strukture podataka u nekim sistemskim datotekama, što se događa tijekom neispravnog isključivanja. Da biste riješili problem, baš kao iu prethodnim slučajevima, možete se pokrenuti u sigurnom načinu rada s podrškom za naredbeni redak i pokrenuti naredbu za provjeru diska sustava
chkdsk C: / F - provjerite pogon C: ispravljajući sve pronađene pogreške (prekidač / F)
Budući da je u trenutku pokretanja chkdsk disk sustava zauzet uslugama i aplikacijama sustava, program chkdsk ne može dobiti ekskluzivni pristup njemu radi testiranja. Stoga će korisnik biti zatražen porukom upozorenja i upitom da izvrši testiranje sljedeći put kada se sustav ponovno pokrene. Nakon odgovora Y, informacije će se unijeti u registar, osiguravajući da provjera diska počinje kada se Windows ponovno pokrene. Nakon provjere, ove informacije se brišu i normalno ponovno pokretanje sustava Windows izvodi se bez intervencije korisnika.
Uklonite mogućnost pokretanja virusa pomoću uređivača registra.
Za pokretanje uređivača registra, kao u prethodnom slučaju, trebate pokrenuti Windows u sigurnom načinu rada s podrškom za naredbeni redak, upišite regedit.exe u prozor tumača naredbenog retka i pritisnite ENTER Windows 7, sa standardnim sigurnosnim postavkama sustava, zaštićen je od mnoge metode pokretanja zlonamjernih programa korištene za prethodne verzije Microsoftovih operativnih sustava. Instaliranje vlastitih drajvera i servisa od strane virusa, rekonfiguracija usluge WINLOGON s povezivanjem vlastitih izvršnih modula, popravljanje ključeva registra relevantnih za sve korisnike, itd. - sve ove metode ili ne rade u sustavu Windows 7 ili zahtijevaju tako ozbiljan rad da praktički rade ne upoznati. U pravilu se promjene u registru koje omogućuju pokretanje virusa vrše samo u kontekstu dopuštenja koje postoje za trenutnog korisnika, tj. pod HKEY_CURRENT_USER
Kako biste demonstrirali najjednostavniji mehanizam za zaključavanje radne površine zamjenom korisničke ljuske (ljuske) i nemogućnošću korištenja uslužnog programa MSCONFIG za otkrivanje i uklanjanje virusa, možete provesti sljedeći eksperiment - umjesto virusa, možete sami prilagodite podatke registra kako biste dobili, na primjer, naredbeni redak umjesto radne površine ... Poznatu radnu površinu kreira Windows Explorer (Explorer.exe) pokrenut kao ljuska korisnika. To osiguravaju vrijednosti parametra Shell u ključevima registra.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon- za sve korisnike.
- za trenutnog korisnika.
Parametar Shell je niz s nazivom programa koji će se koristiti kao ljuska kada se korisnik prijavi na sustav. Obično parametar Shell nedostaje u ključu za trenutnog korisnika (HKEY_CURRENT_USER ili HKCU), a koristi se vrijednost iz ključa registra za sve korisnike (HKEY_LOCAL_MACHINE \ ili HKLM u skraćenom obliku).
Ovako izgleda ključ registra HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon sa standardnom instalacijom Windows 7
Ako ovom odjeljku dodate parametar stringa Shell, koji uzima vrijednost "cmd.exe", sljedeći put kada se trenutni korisnik prijavi na sustav, umjesto standardne korisničke ljuske bazirane na Exploreru, ljuska cmd.exe će biti pokrenut i umjesto uobičajene Windows radne površine, prikazat će se prozor naredbenog retka ...
Naravno, svaki zlonamjerni program može se pokrenuti na ovaj način, a korisnik će umjesto desktopa dobiti porno banner, bloker i druge gadosti.
Za promjenu ključa za sve korisnike (HKLM ...
Ako tijekom eksperimenta pokrenete uslužni program msconfig, možete osigurati da cmd.exe nije prisutan kao korisnička ljuska na popisima automatski pokrenutih programa. Povrat sustava, naravno, omogućit će vam da vratite izvorno stanje registra i riješite se automatskog pokretanja virusa, ali ako je to iz nekog razloga nemoguće, ostaje samo izravno uređivanje registra. Da biste se vratili na standardnu radnu površinu, jednostavno uklonite parametar Shell ili promijenite njegovu vrijednost iz "cmd.exe" u "explorer.exe" i ponovno registrirajte korisnika (odjavite se i ponovno se prijavite) ili ponovno pokrenite. Registar možete uređivati pokretanjem uređivača registra regedit.exe iz naredbenog retka ili pomoću konzolnog uslužnog programa REG.EXE. Primjer naredbenog retka za uklanjanje parametra ljuske:
REG brisanje "HKCU \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon" / v Shell
Navedeni primjer promjene korisničke ljuske danas je jedna od najčešćih tehnika koje koriste virusi u operacijskom sustavu Windows 7. Prilično visoka razina sigurnosti sa standardnim postavkama sustava sprječava zlonamjerne programe da dobiju pristup ključevima registra koji su korišteni za zarazu u sustavu Windows XP i ranijim verzijama. Čak i ako je trenutni korisnik član grupe administratora, pristup velikoj većini postavki registra koji se koriste za infekciju zahtijeva pokretanje programa kao administratora. Iz tog razloga zlonamjerni softver mijenja ključeve registra kojima je trenutnom korisniku dopušten pristup (HKCU ključ...) Drugi važan čimbenik je teškoća upisivanja programskih datoteka u kataloge sustava. Upravo iz tog razloga većina virusa u sustavu Windows 7 koristi pokretanje izvršnih datoteka (.exe) iz direktorija privremenih datoteka (Temp) trenutnog korisnika. Prilikom analize točaka automatskog pokretanja programa u registru, prije svega, morate obratiti pažnju na programe koji se nalaze u direktoriju privremenih datoteka. Ovo je obično imenik C: \ KORISNICI \ korisničko ime \ AppData \ Lokalno \ Temp... Točan put direktorija privremenih datoteka može se vidjeti kroz upravljačku ploču u svojstvima sustava - "Varijable okruženja". Ili u naredbenoj liniji:
postavljena temp
ili
echo% temp%
Osim toga, traženje u registru odgovarajućeg naziva direktorija za privremene datoteke ili varijable% TEMP% može se koristiti kao dodatno sredstvo za otkrivanje virusa. Pravni programi se nikada ne pokreću automatski iz TEMP direktorija.
Zgodno je koristiti poseban program Autoruns iz paketa SysinternalsSuite kako biste dobili potpuni popis mogućih točaka automatskog pokretanja.
Najlakši načini za uklanjanje blokatora iz obitelji MBRLock
Zlonamjerni programi mogu preuzeti kontrolu nad računalom ne samo inficiranjem operacijskog sustava, već i izmjenom zapisa sektora za pokretanje diska s kojeg se diže. Virus zamjenjuje podatke boot sektora aktivne particije svojim programskim kodom tako da umjesto Windowsa učitava jednostavan program koji prikazuje ransomware poruku tražeći novac za lopove. Budući da virus stječe kontrolu čak i prije pokretanja sustava, postoji samo jedan način da ga zaobiđete - da se pokrenete s drugog medija (CD/DVD, vanjski pogon, itd.) u bilo kojem operacijskom sustavu gdje je moguće oporaviti programski kod sektori za pokretanje. Najlakši način je korištenje Live CD-a / Live USB-a, koje većina antivirusnih tvrtki obično daje besplatno (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, itd.) i skeniranje datotečnog sustava u potrazi za zlonamjernim softverom, uklanjanje ili dezinfekcija zaraženih datoteke. Ako nije moguće upotrijebiti ovu metodu, tada možete proći jednostavnim pokretanjem bilo koje verzije Windows PE (instalacijski disk, ERD Commander rescue disk), što vam omogućuje vraćanje normalnog pokretanja sustava. Obično je dovoljna čak i jednostavna mogućnost pristupa naredbenom retku i izvršavanja naredbe:
bootsect / nt60 / mbr<буква системного диска:>
bootsect / nt60 / mbr E:> - vraćanje sektora za pokretanje pogona E: Ovdje treba upotrijebiti slovo za pogon koji se koristi kao uređaj za pokretanje sustava oštećenog virusom.
ili za Windows starije od Windows Vista
bootsect / nt52 / mbr<буква системного диска:>
Uslužni program bootsect.exe može se nalaziti ne samo u katalozima sustava, već i na bilo kojem prijenosnom mediju, može se izvršiti u okruženju bilo kojeg operacijskog sustava obitelji Windows i omogućuje vam vraćanje programskog koda sektora za pokretanje bez koji utječu na particijsku tablicu i datotečni sustav. U pravilu, prekidač / mbr nije potreban, jer vraća programski kod MBR-a, koji virusi ne mijenjaju (možda još nisu modificirali).
Moj najbolji prijatelj mi je donio netbook da ga pogledam, na kojem su virusi teško hodali, i zamolio me da pomognem očistiti sustav iz zoološkog vrta. Prvi put sam svojim očima vidio smiješnu granu u razvoju zlonamjernog softvera: ransomware. Takvi programi blokiraju dio funkcija operacijskog sustava i zahtijevaju slanje SMS poruke za primanje koda za otključavanje. Liječenje se pokazalo ne baš beznačajnim i pomislio sam da bi možda ova priča nekome spasila živčane stanice. Pokušao sam dati poveznice na sve stranice i uslužne programe koji su bili potrebni tijekom liječenja.
U ovom slučaju, virus se pretvarao da je antivirusni program Internet Security i zahtijevao je da pošalje SMS K207815200 na broj 4460. Na web stranici Kaspersky Laba postoji stranica koja vam omogućuje generiranje kodova odgovora za ransomware: support.kaspersky.ru /virusi/deblocker
Ipak, nakon uvođenja koda, funkcije OS-a ostale su blokirane, a pokretanje bilo kojeg antivirusnog programa dovelo je do trenutnog otvaranja virusnog prozora koji je marljivo oponašao rad antivirusa:
Pokušaji podizanja sustava u sigurnim načinima doveli su do potpuno istog rezultata. Također, stvar je zakomplicirala činjenica da su lozinke za sve administratorske račune bile prazne, te pravilo da se administratori s praznom lozinkom po zadanim postavkama prijavljuju na računalo preko mreže.
Morao sam se pokrenuti s USB Flash pogona (po definiciji, netbook nema diskovni pogon). Najlakši način da napravite USB disk za podizanje sustava:
1. Formatirajte disk u NTFS
2. Učinite particiju aktivnom (diskpart -> odaberite disk x -> odaberite particiju x -> aktivno)
3. Koristimo uslužni program \ boot \ bootsect.exe iz distribucijskog kompleta Vista / Windows 2008 / Windows 7: bootsect / nt60 X: / mbr
4. Kopirajte sve datoteke distribucijskog kompleta (imao sam pri ruci distribucijski kit za Windows 2008) na usb disk. Sve, možete pokrenuti.
Budući da ne trebamo instalirati OS, već da liječimo viruse, kopiramo skup besplatnih iscjelitelja (AVZ, CureIt) i pomoćnih uslužnih programa na disk (gledajući unaprijed, trebao sam Streams od Marka Russinovicha) i Far. Ponovno pokrećemo netbook, postavljamo pokretanje s USB-a u BIOS-u.
Program za postavljanje sustava Windows 2008 je učitan, slažemo se s izborom jezika, Instaliraj odmah i zatim pritisnite Shift + F10. Pojavljuje se prozor naredbenog retka iz kojeg možemo pokrenuti naše antivirusne alate i potražiti infekciju na pogonu sustava. Tada sam naišao na poteškoću, CureIt je ispustio sustav na plavi ekran smrti uz zlostavljanje zbog greške u radu s NTFS-om, a AVZ, iako je uspio, nije mogao ništa pronaći. Očigledno je virus vrlo, vrlo svjež. Jedini trag je AVZ poruka da je pronašao izvršni kod u dodatnom NTSF streamu za jednu od datoteka u Windows direktoriju. Ovo mi se činilo čudnim i sumnjivim, budući da se dodatni NTFS streamovi koriste u vrlo specifičnim slučajevima i ništa izvršno ne bi trebalo biti pohranjeno tamo na normalnim strojevima.
Stoga sam morao preuzeti uslužni program Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) s Marka i izbrisati ovaj stream. Njegova veličina bila je 126464 bajta, baš kao i dll datoteke koje je virus stavio na flash diskove umetnute u sustav.
Nakon toga, koristeći Far, pretražio sam cijeli disk sustava za datoteke iste veličine i pronašao još 5 ili 6 sumnjivih datoteka stvorenih u posljednja 2-3 dana. Uklonjeni su na isti način. Nakon toga, CureIt je uspio riješiti (očito je naletio na dodatne teme) i uspješno je očistio još dva Trojanca :)
Nakon ponovnog pokretanja, sve je radilo, dodatna pokretanja antivirusnih skenera nisu ništa pronašla. Uz pomoć AVZ-a vraćena su pravila koja ograničavaju funkcije OS-a. Prijatelju je dat strogi prijedlog koliko je važno koristiti antivirusni softver, pogotovo jer postoji mnogo besplatnih (
Prošlo je već tjedan dana otkako se Petya osušila u Ukrajini. Općenito, više od pedeset zemalja diljem svijeta patilo je od ovog ransomware virusa, ali 75% masovnog cyber napada pogodilo je Ukrajinu. Pogođene su vlade i financijske institucije diljem zemlje, a Ukrenergo i Kyivenergo među prvima su izvijestili da su njihovi sustavi hakirani. Za prodor i blokiranje virusa Petya.A koristio je računovodstveni program M.E.Doc. Ovaj softver je vrlo popularan među svim vrstama institucija u Ukrajini, što je postalo kobno. Zbog toga je nekim tvrtkama trebalo dugo da se oporave od virusa Petya. Neki su uspjeli nastaviti s radom tek jučer, 6 dana nakon ransomware virusa.
Svrha virusa Petya
Svrha većine ransomware virusa je iznuda. Oni šifriraju informacije na žrtvinom računalu i traže novac od nje kako bi dobili ključ koji će nastaviti pristup šifriranim podacima. Ali prevaranti ne drže uvijek svoju riječ. Neki ransomware jednostavno nisu dizajnirani za dešifriranje, a virus Petya je jedan od njih.
Ovu tužnu vijest izvijestili su stručnjaci iz Kaspersky Laba. Za oporavak podataka nakon virusa ransomwarea potreban je jedinstveni identifikator instalacije virusa. No, u situaciji s novim virusom, on uopće ne generira identifikator, odnosno kreatori zlonamjernog softvera nisu ni razmatrali mogućnost vraćanja računala nakon virusa Petya.
No, istovremeno su žrtve primile poruku u kojoj je pozvana adresa gdje treba prenijeti 300 dolara u bitcoinima kako bi se sustav vratio. U takvim slučajevima stručnjaci ne preporučuju pomaganje hakerima, ali unatoč tome, kreatori "Petita" uspjeli su zaraditi više od 10.000 dolara u 2 dana nakon masovnog cyber napada. No stručnjaci su uvjereni da iznuda nije bila njihova glavna zadaća, budući da je ovaj mehanizam bio loše promišljen, za razliku od drugih mehanizama virusa. Iz ovoga se može pretpostaviti da je svrha virusa Petya bila destabilizirati poslovanje globalnih poduzeća. Također je sasvim moguće da su hakeri jednostavno požurili i nepromišljeni dio dobivanja novca.
Oporavak računala nakon Petya virusa
Nažalost, nakon potpune infekcije s Petyom, podaci na računalu ne mogu se oporaviti. Ipak, postoji način da otključate svoje računalo nakon virusa Petya, ako ransomware nije imao vremena potpuno šifrirati podatke. To je objavljeno na službenoj web stranici Cyberpolicije 2. srpnja.
Postoje tri mogućnosti za infekciju Petya
- sve informacije na računalu su potpuno šifrirane, na ekranu se prikazuje prozor s iznudom novca;
- PC podaci su djelomično šifrirani. Proces šifriranja prekinuli su vanjski čimbenici (uključujući napajanje);
- Računalo je zaraženo, ali proces šifriranja za MFT nije pokrenut.
U prvom slučaju, sve je loše - sustav se ne može vratiti... Barem za sada.
U posljednje dvije opcije situacija je popravljiva.
Za oporavak podataka koji su djelomično šifrirani, preporučuje se učitavanje instalacijskog diska za Windows:
Ako tvrdi disk nije oštećen virusom za šifriranje, OS će vidjeti datoteke i početi obnavljati MBR:
Ovaj proces ima svoje nijanse za svaku verziju sustava Windows.
Windows XP
Nakon učitavanja instalacijskog diska, na zaslonu se pojavljuje prozor "Windows XP Professional Settings", gdje morate odabrati "da biste vratili Windows XP pomoću konzole za oporavak, pritisnite R". Nakon što pritisnete R, i konzola za oporavak će se početi učitavati.
Ako uređaji imaju instaliran jedan operativni sustav i on se nalazi na C pogonu, pojavit će se obavijest:
"1: C: \ WINDOWS koju kopiju sustava Windows trebam koristiti za prijavu?" U skladu s tim, potrebno je pritisnuti tipku "1" i "Enter".
Tada ćete vidjeti: "Unesite lozinku administratora." Unesite lozinku i pritisnite "Enter" (ako nema lozinke, pritisnite "Enter").
Sustav bi trebao biti upitan: C: \ WINDOWS>, unesite fixmbr.
Tada će se pojaviti "UPOZORENJE".
Za potvrdu novog MBR zapisa pritisnite "y".
Zatim se pojavljuje obavijest "Novi MBR je u tijeku na fizičkom disku \ Uređaj \ Harddisk0 \ Partition0."
I: "New Master Boot Record je uspješno obavljen."
Windows Vista:
Ovdje je situacija jednostavnija. Pokrenite OS, odaberite jezik i raspored tipkovnice. Zatim će se na ekranu prikazati "Vrati svoje računalo na rad". Pojavit će se izbornik u kojem morate odabrati "Dalje". Pojavit će se prozor s parametrima vraćenog sustava, gdje trebate kliknuti na naredbeni redak, u koji trebate unijeti bootrec / FixMbr.
Nakon toga morate pričekati da se proces završi, ako je sve prošlo dobro, pojavit će se poruka potvrde - pritisnite "Enter", a računalo će se početi ponovno podizati. Sve.
Windows 7:
Proces oporavka je sličan Visti. Nakon što odaberete jezik i raspored tipkovnice, odaberite OS, a zatim kliknite "Dalje". U novom prozoru odaberite stavku "Koristite alate za oporavak koji mogu pomoći u rješavanju problema s pokretanjem sustava Windows".
Svi ostali koraci su slični Visti.
Windows 8 i 10:
Pokrenite OS, u prozoru koji se pojavi odaberite stavku Popravite računalo> rješavanje problema, gdje klikom na naredbeni redak unesite bootrec / FixMbr. Nakon dovršetka postupka pritisnite "Enter" i ponovno pokrenite uređaj.
Nakon što je proces oporavka MBR-a uspješno dovršen (bez obzira na verziju sustava Windows), trebate skenirati disk antivirusnim programom.
Ako je proces šifriranja pokrenuo virus, možete koristiti softver za oporavak datoteka kao što je Rstudio. Nakon što ih kopirate na prijenosni medij, morate ponovno instalirati sustav.
U slučaju kada koristite softver za oporavak podataka napisan u sektoru za pokretanje, na primjer Acronis True Image, možete biti sigurni da "Petya" nije utjecala na ovaj sektor. To znači da možete vratiti sustav u radno stanje, bez ponovne instalacije.
Ako pronađete pogrešku, odaberite dio teksta i pritisnite Ctrl + Enter.
:: Uvod
Nakon uklanjanja virusa, sustav može pokvariti (ili se uopće ne pokrenuti), može se izgubiti pristup internetu ili određenim stranicama, pa nakon prijave antivirusa " Uništeni svi virusi"Korisnik ostaje sam s neispravnim sustavom. Također, probleme mogu uzrokovati programske pogreške ili njihova nekompatibilnost s vašim sustavom. Razmotrimo mogućnosti rješavanja problema.
:: Internet ne radi
Uzrok problema s mrežom može biti i posljedica virusa i rada krivog softvera. Postoji nekoliko rješenja za ovaj problem. Ovdje ćemo razmotriti jednu - AntiSMS uslužni program.
Pokrenite kao administrator i izvršite potpuno vraćanje mrežnih postavki. Rad uslužnog programa je jednostavan: jedan klik mišem i gotovi ste.
:: Standardno vraćanje sustava Windows
Ako vraćanje sustava nije onemogućeno na sustavu, upotrijebite ovu standardnu funkciju Windows za rješavanje problema. Također, ova metoda oporavka sustava je učinkovita ako je oštećenje sustava uzrokovano radnjama neiskusnih korisnika ili programskim pogreškama.
Windows XP: Početak -> Svi programi -> Standard -> Servis -> Vraćanje sustava... I odaberite točku vraćanja nekoliko dana prije pojave problema.
: Otvorite Vraćanje sustava klikom na gumb Start. Upišite vraćanje sustava u okvir za pretraživanje, a zatim s popisa rezultata odaberite Vraćanje sustava. Unesite lozinku administratora ili potvrdite lozinku ako se to od vas zatraži. Slijedite upute u čarobnjaku da biste odabrali točku vraćanja i oporavili svoje računalo.
Ako se računalo ne pokrene, zatim pokušajte otići do Windows siguran način rada... Da biste ga odabrali, morate otići na servisni izbornik - da biste ga pozvali, pritisnite više tipki F8(ili F5) odmah nakon uključivanja računala. U sigurnom načinu rada također koristite " Početak"za vraćanje sustava kako je gore opisano.
Dobro je znati: u sustavu Windows "7, oporavak se može pozvati pomoću stavke "Rješavanje problema s računalom".
Izbornik naprednih opcija pokretanja sustava Windows XP:
Izbornik naprednih opcija pokretanja sustava Windows 7:
Ako ni Safe Mode ne radi, zatim pokušajte otići do Siguran način rada s podrškom za naredbeni redak... U ovom načinu rada gumb "Start" više neće postojati, pa ćete morati pozvati vraćanje sustava kroz naredbeni redak, za to u naredbenom retku upišite redak:
% SystemRoot% \ system32 \ restauracija \ rstrui.exe
i pritisnite tipku Unesi... Ovo je za Windows "XP!
Za Windows verzije Vista / 7/8, samo unesite naredbu rstrui.exe i pritisnite Unesi.
Ako ne radi i ako imate disk za pokretanje sustava Windows, zatim se možete pokrenuti s njega i pokušati vratiti sustav. Pogledajmo Windows "7 kao primjer:
umetnite disk za pokretanje u svoje računalo i pokrenite se s njega.
Izaberi " Vraćanje sustava".
Otvorit će se prozor s opcijama za radnju.
Odaberite stavku " Pokreni oporavak", zatim pokušajte pokrenuti na uobičajen način. Ako ne pomogne, odaberite" Vraćanje sustava"(ovo je analog vraćanja sustava, o čemu je gore raspravljano) i odaberite točku vraćanja u vrijeme normalnog rada sustava. Pokušajte se pokrenuti na uobičajeni način. Ako to nije pomoglo, odaberite" Naredbeni redak"i upišite u naredbeni redak chkdsk c: / f / r i pritisnite Unesi- pokrenut će se provjera grešaka na tvrdom disku, možda će ova provjera dati pozitivan rezultat.
:: Vrati sistemske datoteke sfc naredbom
Ako nakon dezinfekcije Windows dođe do kvara, onda Start -> Pokreni, unesite naredbu:
sfc / scannow
i pritisnite Unesi- Windows će provjeriti integritet zaštićenih datoteka na vašem računalu. Možda će vam trebati instalacijski disk OS-a za oporavak.
Ako ne pronađete gumb "Pokreni", možete ga pozvati tipkovnim prečacem [ Pobijediti] + [R]. Ako se sustav ne pokreće normalno, upotrijebite Siguran način.
Zatim ćemo analizirati brojne programe trećih strana za oporavak sustava nakon virusa. Preporuči koristite ih u sigurnom načinu rada sustava Windows. Ne zaboravite na administratorska prava.
:: Oporavak pomoću Windows Repair (sve u jednom)
Popravak Windowsa (sve u jednom) je uslužni program koji će vam pomoći da ispravite pogreške u registru sustava, vratite izvorne postavke koje su promijenjene kada je računalo zaraženo ili instalirane programe, vratite stabilan rad preglednika Internet Explorer, uslugu Windows Update, Windows vatrozid i druge usluge OS-a i komponente.
Raspakirajte preuzetu arhivu, a zatim pokrenite program. Nužno ažuriraj ga: Datoteka -> Ažuriranje baze podataka.
Trčanje " Čarobnjak za rješavanje problema" (na izborniku" Datoteka").
kliknite " Početak". Ako AVZ pronađe bilo kakve probleme, označite okvire i kliknite" Ispravite prijavljene probleme".
Zatim na jelovniku " Datoteka"Izaberi" Vraćanje sustava". Označite okvire za sve stavke, OSIM ove:
- Automatska korekcija SPl / LSP postavki;
- Resetirajte SPI / LSP i TCP / IP postavke (XP +);
- Potpuna ponovna izrada SPI postavki;
- Zamijenite DNS svih veza Google DNS-om
Zatim pritisnite " Izvršite označene operacije", pričekajte malo, zatvorite program i ponovno pokrenite računalo.
Ako nakon infekcije računala postoje problemi s pristupom nekim stranicama, na primjer, društvene mreže lažno prijavljuju blokiranje ili se pojavi neka vrsta lijevog oglašavanja, postoji mogućnost zamjene DNS-a za zlonamjerno - u ovom slučaju možete koristiti artikl " Zamijenite DNS svih veza Google DNS-om". Ali to treba učiniti tek nakon provjere računala antivirusnim skenerima (ako nisu pomogli). Također možete isprobati ovu stavku ako ne možete vratiti internet nakon infekcije.
Stavak " Automatska korekcija SPl / LSP postavki"može se koristiti ako se pristup internetu izgubi nakon virusa (ponovno pokrenite računalo nakon aplikacije). Poništi SPI / LSP i TCP / IP postavke (XP +)"Također je namijenjen vraćanju pristupa mreži, ali se ova stavka može koristiti samo ako ništa drugo ne pomaže (ponovno pokrenite računalo nakon korištenja). Ako obje gore navedene točke nisu pomogle vraćanju interneta, postoji još jedna stavka. " Potpuna ponovna izrada SPI postavki"- prijavite se samo ako ništa drugo ne pomaže. Obratite pažnju na ove tri točke o kojima govorimo da uopće nema pristupa mreži.
:: Provjerite tvrdi disk (chkdsk)
Ovo je standardni Windows program za provjeru grešaka na tvrdom disku. Otvorena " Moje računalo"(u sustavu Windows," 7 je samo " Računalo") na Radna površina ili kroz izbornik" Početak". Odaberite željenu particiju ili disk, kliknite desnom tipkom miša na nju, pritisnite" Svojstva", odaberite karticu" Servis" i pritisnite " Ček", označite okvire na" Automatski popravi pogreške sustava"i" Provjerite i popravite loše sektore". Ako provjeravate sistemsku particiju, morat ćete zakazati skeniranje za sljedeće pokretanje (za provjeru ćete morati ponovno pokrenuti računalo).
Primjer pokretanja putem naredbenog retka: chkdsk c: / f / r
:: Windows se ne pokreće ni u jednom načinu rada
Windows se može srušiti ako su datoteke registra ili sustava oštećene. Morat ćemo koristiti LiveCD - ovo je disk ili flash pogon koji zaobilazi sustav instaliran na računalu. Morat ćete preuzeti sliku (datoteku s iso ekstenzijom) na zdravo računalo i montirati je na disk ili flash pogon, a zatim s njega.
Koristit ćemo se LiveCD AntiSMS: stranica za preuzimanje. Na stranici za preuzimanje postoji poseban program za pisanje na flash pogon.
Nakon pokretanja s LiveCD-a na problematičnom računalu, vidjet ćete običnu radnu površinu. Kliknite na prečac " AntiSMS". Nakon što uslužni program AntiSMS izvijesti da je sve u redu, uklonite LiveCD i pokrenite na uobičajen način. AntiSMS uslužni program vraća neke od grana registra i sistemskih datoteka koje su potrebne za ispravan rad Windowsa - možda će to biti dovoljno za vraćanje sustav.
Ako ne pomogne, pokušajte vratiti registar iz sigurnosne kopije:
za Windows 7 : pokrenite s AntiSMS LiveCD-a i pokrenite Total Commander, koji se nalazi na ovom LiveCD-u. Idi u mapu Windows \ System32 \ Config(ovo je mapa Windows instalirana na problematičnom računalu). Datoteke SUSTAV i SOFTVER preimenovati u SUSTAV.loše i SOFTVER.loše prema tome. Zatim kopirajte datoteke iz mape SUSTAV i SOFTVER u mapu Windows \ System32 \ Config Ovo bi trebalo pomoći, pokušajte pokrenuti računalo na uobičajeni način.
za Windows XP : idi u mapu windows \ system32 \ config, datoteke sustav i softver preimenovati u sustav.loše i softver.loše prema tome. Zatim kopirajte datoteke sustav i softver iz mape prozori \ popravak u mapu windows \ system32 \ config
Za referencu: u mapi Windows \ System32 \ Config \ RegBack pohranjene sigurnosne kopije košnica registra. Oni su stvoreni Planer zadataka svakih deset dana.
Virus je vrsta zlonamjernog softvera koji prodire u područja memorije sustava, kod drugih programa i sektore za pokretanje. Može izbrisati važne podatke s tvrdog diska, USB pogona ili memorijske kartice.
Većina korisnika ne zna kako oporaviti datoteke nakon virusnog napada. U ovom članku želimo vam reći kako to učiniti na brz i jednostavan način. Nadamo se da će vam ove informacije biti korisne. Postoje dvije glavne metode koje možete koristiti za jednostavno uklanjanje virusa i oporavak izbrisanih podataka nakon virusnog napada.
Izbrišite virus pomoću naredbenog retka
1) Kliknite gumb "Start". Unesite CMD u traku za pretraživanje. Vidjet ćete "Command Prompt" na vrhu skočnog prozora. Pritisni enter.
2) Pokrenite naredbeni redak i upišite: "attrib –h –r –s / s / d driver_name \ *. *"
Nakon ovog koraka, Windows će početi obnavljati virusom zaraženi tvrdi disk, memorijsku karticu ili USB. Trebat će neko vrijeme da se proces dovrši.
Da biste pokrenuli oporavak sustava Windows, kliknite gumb "Start". Upišite Restore u traku za pretraživanje. U sljedećem prozoru kliknite “Pokreni vraćanje sustava” → “Dalje” i odaberite željenu točku vraćanja.
Druga varijanta puta je “Upravljačka ploča” → “Sustav” → “Zaštita sustava”. Pojavit će se prozor za pripremu oporavka. Zatim će se računalo ponovno pokrenuti i pojavit će se poruka "Vraćanje sustava uspješno je dovršeno". Ako to nije riješilo vaš problem, pokušajte se vratiti na drugu točku vraćanja. To je sve što treba reći o drugoj metodi.
Magic Partition Recovery: Vraćanje datoteka i mapa koje nedostaju nakon virusnog napada
Za pouzdan oporavak datoteka koje su izbrisali virusi, koristite Magic Partition Recovery. Program se temelji na izravnom niskorazinskom pristupu disku. Stoga će zaobići blokiranje virusa i pročitati sve vaše datoteke.
Preuzmite i instalirajte program, a zatim analizirajte disk, flash pogon ili memorijsku karticu. Nakon analize, program prikazuje popis mapa na odabranom disku. Nakon što odaberete potrebnu mapu s lijeve strane, možete je vidjeti u desnom odjeljku.
Dakle, program pruža mogućnost pregleda sadržaja diska na isti način kao i kod standardnog Windows Explorera. Osim postojećih datoteka, prikazat će se izbrisane datoteke i mape. Oni će biti označeni posebnim crvenim križem, što će znatno olakšati oporavak izbrisanih datoteka.
Ako ste nakon napada virusa izgubili svoje datoteke, Magic Partition Recovery će vam pomoći da sve vratite bez puno truda.
