Parleremo dei modi più semplici per neutralizzare i virus, in particolare quelli che bloccano il desktop di un utente Windows 7 (la famiglia di virus Trojan.Winlock). Tali virus differiscono in quanto non nascondono la loro presenza nel sistema, ma, al contrario, lo dimostrano, rendendo il più difficile possibile l'esecuzione di qualsiasi azione, ad eccezione dell'inserimento di uno speciale "codice di sblocco", per il quale, presumibilmente, è necessario trasferire una certa somma agli aggressori tramite l'invio di SMS o il ripristino di un account di cellulare tramite un terminale di pagamento. C'è solo un obiettivo qui: far pagare l'utente e, a volte, denaro abbastanza decente. Viene visualizzata una finestra con un formidabile avviso sul blocco del computer per l'utilizzo di software senza licenza o la visita di siti indesiderati e qualcos'altro, di solito per spaventare l'utente. Inoltre, il virus non consente di eseguire alcuna azione nell'ambiente di lavoro Windows: blocca la pressione di speciali combinazioni di tasti per chiamare il menu del pulsante Start, il comando Esegui, il task manager, ecc. Il puntatore del mouse non può essere spostato al di fuori della finestra dei virus. Di norma, la stessa immagine viene osservata durante il caricamento di Windows in modalità provvisoria. La situazione sembra disperata, soprattutto se non c'è nessun altro computer, la possibilità di avviarsi in un altro sistema operativo, o da un supporto rimovibile (LIVE CD, ERD Commander, antivirus). Tuttavia, nella stragrande maggioranza dei casi, c'è una via d'uscita.
Le nuove tecnologie implementate in Windows Vista / Windows 7 hanno reso molto più difficile l'infiltrazione del malware e l'assunzione del controllo completo del sistema e offrono inoltre agli utenti ulteriori opportunità per sbarazzarsene in modo relativamente semplice, anche senza software antivirus (software). Stiamo parlando della possibilità di avviare il sistema in modalità provvisoria con il supporto della riga di comando e di avviare il software di monitoraggio e ripristino da esso. Ovviamente, per abitudine, a causa dell'implementazione piuttosto scarsa di questa modalità nelle versioni precedenti della famiglia di sistemi operativi Windows, molti utenti semplicemente non la utilizzano. Ma invano. La riga di comando di Windows 7 non ha il solito desktop (che può essere bloccato da un virus), ma è possibile avviare la maggior parte dei programmi: l'editor del registro, il task manager, l'utilità di ripristino del sistema, ecc.
Rimozione di un virus ripristinando il sistema in un punto di ripristino
Un virus è un programma normale e, anche se si trova sul disco rigido del computer, ma non ha la capacità di avviarsi automaticamente all'avvio del sistema e l'utente effettua l'accesso, è innocuo come, ad esempio, un normale file di testo. Se viene risolto il problema del blocco dell'avvio automatico di un programma dannoso, l'attività di eliminazione del malware può essere considerata completata. Il metodo principale di avvio automatico utilizzato dai virus è tramite voci di registro appositamente predisposte che vengono create quando vengono iniettate nel sistema. Se elimini queste voci, il virus può essere considerato neutralizzato. Il modo più semplice è eseguire un ripristino del sistema da un checkpoint. Un checkpoint è una copia di importanti file di sistema archiviati in una directory speciale ("Informazioni sul volume di sistema") e contenente, tra le altre cose, copie dei file del registro di sistema di Windows. L'esecuzione di un rollback del sistema a un punto di ripristino, la cui data di creazione precede l'infezione da virus, consente di ottenere lo stato del registro di sistema senza le voci apportate dal virus introdotto ed escluderne quindi l'avvio automatico, ad es. sbarazzarsi dell'infezione anche senza utilizzare un software antivirus. In questo modo, puoi eliminare in modo semplice e rapido l'infezione del sistema con la maggior parte dei virus, compresi quelli che bloccano il desktop di Windows. Naturalmente, un virus bloccante che utilizza, ad esempio, la modifica dei settori di avvio del disco rigido (virus MBRLock) non può essere rimosso in questo modo, poiché il rollback del sistema a un punto di ripristino non influisce sui record di avvio del disco e non sarà possibile avviare Windows in modalità provvisoria con il supporto della riga di comando perché il virus viene caricato prima del bootloader di Windows. Per eliminare tale infezione, dovrai eseguire l'avvio da un altro supporto e ripristinare i record di avvio infetti. Ma ci sono relativamente pochi virus di questo tipo e, nella maggior parte dei casi, è possibile eliminare l'infezione ripristinando il sistema a un punto di ripristino.
1. All'inizio del download, premere il pulsante F8. Lo schermo visualizzerà il menu del bootloader di Windows, con le possibili opzioni per l'avvio del sistema
2. Seleziona l'opzione di avvio di Windows - "Modalità provvisoria con supporto della riga di comando"
Al termine del download e della registrazione dell'utente, al posto del solito desktop di Windows, verrà visualizzata la finestra del processore di comandi cmd.exe
3. Eseguire lo strumento "Ripristino configurazione di sistema", per il quale è necessario digitare rstrui.exe nella riga di comando e premere INVIO.
Passa alla modalità "Scegli un punto di ripristino diverso" e nella finestra successiva seleziona la casella "Mostra altri punti di ripristino"
Dopo aver selezionato un punto di ripristino di Windows, puoi visualizzare l'elenco dei programmi interessati quando esegui il rollback del sistema:
L'elenco dei programmi interessati è un elenco di programmi che sono stati installati dopo la creazione del punto di ripristino del sistema e che potrebbe essere necessario reinstallare perché non ci saranno voci associate a essi nel registro.
Dopo aver fatto clic sul pulsante "Fine", inizierà il processo di ripristino del sistema. Al termine, Windows si riavvierà.
Dopo il riavvio, sullo schermo verrà visualizzato un messaggio sull'esito positivo o negativo del rollback e, in caso di esito positivo, Windows tornerà allo stato corrispondente alla data di creazione del punto di ripristino. Se il blocco del desktop non si interrompe, puoi utilizzare il metodo più avanzato presentato di seguito.
Rimozione di un virus senza riportare il sistema a un punto di ripristino
È possibile che, per vari motivi, non siano presenti dati del punto di ripristino nel sistema, che la procedura di ripristino sia terminata con un errore o che il rollback non abbia dato esito positivo. In questo caso, è possibile utilizzare l'utilità di diagnostica Configurazione di sistema MSCONFIG.EXE. Come nel caso precedente, è necessario avviare Windows in modalità provvisoria con il supporto della riga di comando e nella finestra dell'interprete della riga di comando cmd.exe, digitare msconfig.exe e premere INVIO
Nella scheda Generale, puoi selezionare le seguenti modalità di avvio di Windows:
All'avvio del sistema, verranno avviati solo i servizi di sistema ei programmi utente minimi necessari.
Lancio selettivo- consente di impostare manualmente l'elenco dei servizi di sistema e dei programmi utente che verranno avviati durante il processo di avvio.
Per eliminare un virus, il modo più semplice è utilizzare un avvio diagnostico, quando l'utilità stessa determina un insieme di programmi che si avviano automaticamente. Se in questa modalità il virus smette di bloccare il desktop, è necessario procedere al passaggio successivo, per determinare quale dei programmi è un virus. Per fare ciò, è possibile utilizzare la modalità di avvio selettiva, che consente di abilitare o disabilitare l'avvio dei singoli programmi in modalità manuale.
La scheda "Servizi" consente di abilitare o disabilitare l'avvio dei servizi di sistema, nelle cui impostazioni il tipo di avvio è impostato su "Automatico". Una casella deselezionata davanti al nome del servizio significa che non verrà avviato durante il processo di avvio del sistema. Nella parte inferiore della finestra dell'utilità MSCONFIG, è presente una casella per impostare la modalità "Non visualizzare i servizi Microsoft", quando abilitata, verranno visualizzati solo i servizi di terze parti.
Prendo atto che la probabilità di un'infezione del sistema da parte di un virus installato come servizio di sistema, con impostazioni di sicurezza standard in un ambiente Windows Vista / Windows 7, è molto piccola e dovrai cercare tracce del virus nel elenco dei programmi utente che si avviano automaticamente (la scheda "Avvio").
Proprio come nella scheda Servizi, puoi abilitare o disabilitare l'avvio automatico di qualsiasi programma che appare nell'elenco visualizzato da MSCONFIG. Se un virus viene attivato nel sistema avviandolo automaticamente utilizzando speciali chiavi di registro o il contenuto della cartella Esecuzione automatica, utilizzando msconfig è possibile non solo neutralizzarlo, ma anche determinare il percorso e il nome del file infetto.
L'utility msconfig è uno strumento semplice e conveniente per configurare l'avvio automatico di servizi e applicazioni che si avviano in modo standard per i sistemi operativi della famiglia Windows. Tuttavia, non è raro che gli autori di virus utilizzino trucchi che consentono al malware di funzionare senza l'uso di punti di esecuzione automatica standard. Molto probabilmente è possibile eliminare un tale virus utilizzando il metodo sopra descritto per ripristinare il sistema in un punto di ripristino. Se non è possibile eseguire il rollback e l'utilizzo di msconfig non ha portato a un risultato positivo, è possibile utilizzare la modifica diretta del registro.
Nel processo di lotta contro un virus, l'utente deve spesso eseguire un hard reset reimpostando (Reset) o spegnendo l'alimentazione. Ciò può portare a una situazione in cui il sistema si avvia normalmente, ma non raggiunge la registrazione dell'utente. Il computer "si blocca" a causa di una violazione della struttura dei dati logici in alcuni file di sistema che si verifica quando il lavoro viene arrestato in modo errato. Per risolvere il problema, allo stesso modo dei casi precedenti, puoi avviare in modalità provvisoria con supporto della riga di comando ed eseguire il comando per controllare il disco di sistema
chkdsk C: /F - check disk C: con correzione degli errori rilevati (switch /F)
Poiché l'unità di sistema è occupata da servizi e applicazioni di sistema quando viene eseguito chkdsk, chkdsk non può ottenere l'accesso esclusivo ad essa per eseguire i test. Pertanto, all'utente verrà presentato un messaggio di avviso e una richiesta di eseguire un test al successivo riavvio del sistema. Dopo aver risposto Y, le informazioni verranno immesse nel registro per garantire che venga avviato un controllo del disco al riavvio di Windows. Al termine della verifica, queste informazioni vengono eliminate e viene eseguito un normale riavvio di Windows senza l'intervento dell'utente.
Elimina la possibilità di avviare un virus utilizzando l'editor del registro.
Per avviare l'editor del registro, come nel caso precedente, è necessario avviare Windows in modalità provvisoria con supporto della riga di comando, digitare regedit.exe nella finestra dell'interprete della riga di comando e premere INVIO Windows 7, con le impostazioni di sicurezza del sistema standard, è protetto da molti metodi per avviare programmi dannosi utilizzati per le versioni precedenti dei sistemi operativi di Microsoft. Installazione da parte di virus dei loro driver e servizi, riconfigurazione del servizio WINLOGON con la connessione dei propri moduli eseguibili, correzione delle chiavi di registro relative a tutti gli utenti, ecc. - tutti questi metodi o non funzionano nell'ambiente Windows 7 o richiedono una tale gravità costi di manodopera che praticamente non soddisfano. Di norma, le modifiche al registro che consentono l'esecuzione del virus vengono eseguite solo nel contesto delle autorizzazioni esistenti per l'utente corrente, ad es. sotto HKEY_CURRENT_USER
Per dimostrare il meccanismo più semplice per bloccare il desktop utilizzando una sostituzione della shell dell'utente (shell) e l'impossibilità di utilizzare l'utilità MSCONFIG per rilevare e rimuovere un virus, puoi condurre il seguente esperimento: invece di un virus, puoi correggere in modo indipendente i dati del registro per ottenere, ad esempio, una riga di comando al posto del desktop. Il desktop familiare viene creato da Esplora risorse (programma Explorer.exe) in esecuzione come shell dell'utente. Ciò è fornito dai valori del parametro Shell nelle chiavi di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon- per tutti gli utenti.
- per l'utente corrente.
Il parametro Shell è una stringa con il nome del programma che verrà utilizzato come shell quando l'utente accede al sistema. In genere, non è presente alcun parametro Shell nella chiave per l'utente corrente (HKEY_CURRENT_USER o HKCU in breve) e viene utilizzato il valore della chiave di registro per tutti gli utenti (HKEY_LOCAL_MACHINE\ o HKLM in breve).
Ecco come appare la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon con l'installazione standard di Windows 7
Se aggiungi il parametro della stringa della shell a questa sezione, che assume il valore "cmd.exe", la prossima volta che l'utente corrente accede al sistema, invece della shell utente standard basata su Explorer, la shell cmd.exe sarà lanciato e al posto del solito desktop di Windows, verrà visualizzata una finestra del prompt dei comandi.
Naturalmente, qualsiasi programma dannoso può essere lanciato in questo modo e l'utente riceverà un banner porno, un blocker e altro muck invece del desktop.
Apportare modifiche alla chiave per tutti gli utenti (HKLM. . .) richiede privilegi di amministratore, quindi i programmi antivirus di solito modificano le impostazioni della chiave di registro dell'utente corrente (HKCU . . .)
Se, come continuazione dell'esperimento, esegui l'utilità msconfig, puoi assicurarti che cmd.exe non sia nell'elenco dei programmi avviati automaticamente come shell utente. Il rollback del sistema, ovviamente, ti consentirà di restituire lo stato originale del registro e di eliminare l'avvio automatico del virus, ma se per qualche motivo è impossibile, rimane solo la modifica diretta del registro. Per tornare al desktop standard, è sufficiente rimuovere il parametro Shell, oppure cambiarne il valore da "cmd.exe" a "explorer.exe" e registrare nuovamente l'utente (disconnettersi ed effettuare nuovamente il login) o riavviare. La modifica del registro può essere eseguita eseguendo l'editor del registro regedit.exe dalla riga di comando o utilizzando l'utilità della console REG.EXE. Esempio di riga di comando per rimuovere l'opzione Shell:
REG elimina "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell
L'esempio precedente di modifica della shell dell'utente è di gran lunga uno dei trucchi più comuni utilizzati dai virus nell'ambiente del sistema operativo Windows 7. Un livello di sicurezza abbastanza elevato con impostazioni di sistema standard non consente al malware di accedere alle chiavi di registro utilizzate per infettare in Windows XP e versioni precedenti. Anche se l'utente corrente è un membro del gruppo Administrators, l'accesso alla maggior parte delle impostazioni del registro utilizzate per l'infezione richiede l'esecuzione del programma come amministratore. È per questo motivo che il malware modifica le chiavi di registro a cui l'utente corrente può accedere (sezione HKCU...). Il secondo fattore importante è la difficoltà di scrivere i file di programma nelle directory di sistema. È per questo motivo che la maggior parte dei virus in ambiente Windows 7 utilizza il lancio di file eseguibili (.exe) dalla directory dei file temporanei (Temp) dell'utente corrente. Quando si analizzano i punti di avvio automatico dei programmi nel registro, prima di tutto è necessario prestare attenzione ai programmi che si trovano nella directory dei file temporanei. Di solito è una directory C:\UTENTI\nome utente\AppData\Local\Temp. Il percorso esatto della directory dei file temporanei può essere visualizzato tramite il pannello di controllo nelle proprietà di sistema - "Variabili d'ambiente". Oppure dalla riga di comando:
impostare la temp
o
eco %temp%
Inoltre, la ricerca nel registro della stringa corrispondente al nome della directory per i file temporanei o la variabile %TEMP% può essere utilizzata come strumento aggiuntivo per il rilevamento dei virus. I programmi legittimi non si avviano mai automaticamente dalla directory TEMP.
Per un elenco completo dei possibili punti di avvio automatico, è conveniente utilizzare lo speciale programma Autoruns del pacchetto SysinternalsSuite.
Il modo più semplice per rimuovere i blocker dalla famiglia MBRLock
I programmi dannosi possono ottenere il controllo su un computer non solo infettando il sistema operativo, ma anche modificando le voci del settore di avvio dell'unità da cui si sta avviando. Il virus sostituisce i dati del settore di avvio della partizione attiva con il suo codice di programma in modo che al posto di Windows venga caricato un semplice programma che visualizzerebbe un messaggio di ransomware che richiede denaro per i truffatori. Poiché il virus prende il controllo anche prima dell'avvio del sistema, c'è un solo modo per aggirarlo: avviare da un altro supporto (CD/DVD, disco esterno, ecc.) in qualsiasi sistema operativo in cui è possibile ripristinare il codice del programma del settori di avvio. Il modo più semplice è utilizzare Live CD / Live USB, che di solito sono forniti gratuitamente agli utenti dalla maggior parte delle società antivirus (Dr Web Live CD, Kaspersky Rescue Disk, Avast! Rescue Disk, ecc.). Oltre al ripristino dei settori di avvio, questi prodotti possono anche eseguire e controllare il file system alla ricerca di malware ed eliminare o disinfettare i file infetti. Se non è possibile utilizzare questo metodo, è possibile cavarsela con un semplice download di qualsiasi versione di Windows PE (disco di installazione, disco di ripristino di emergenza di ERD Commander), che consente di ripristinare il normale avvio del sistema. Di solito è sufficiente anche la semplice capacità di accedere alla riga di comando ed eseguire il comando:
bootsect /nt60 /mbr<буква системного диска:>
bootsect /nt60 /mbr E:> - ripristina i settori di avvio dell'unità E: Questo dovrebbe utilizzare la lettera per l'unità utilizzata come dispositivo di avvio per il sistema danneggiato dal virus.
o per Windows precedenti a Windows Vista
bootsect /nt52 /mbr<буква системного диска:>
L'utility bootsect.exe può trovarsi non solo nelle directory di sistema, ma anche su qualsiasi supporto rimovibile, può essere eseguita su qualsiasi sistema operativo della famiglia Windows e consente di ripristinare il codice del programma dei settori di avvio senza intaccare la tabella delle partizioni e il file sistema. L'opzione /mbr di solito non è necessaria, poiché ripristina il codice del programma del record di avvio principale MBR, che i virus non modificano (forse non lo modificano ancora).
Il mio migliore amico mi ha portato un netbook pesantemente infettato da virus e mi ha chiesto di aiutare a pulire il sistema dallo zoo. Per la prima volta ho visto con i miei occhi un ramo divertente nello sviluppo di malware: il “ransomware”. Tali programmi bloccano alcune funzioni del sistema operativo e richiedono l'invio di un messaggio SMS per ricevere un codice di sblocco. Il trattamento si è rivelato non del tutto banale e ho pensato che forse questa storia avrebbe salvato qualcuno delle cellule nervose. Ho cercato di fornire collegamenti a tutti i siti e le utilità che erano necessari durante il trattamento.
In questo caso, il virus ha finto di essere il programma antivirus Internet Security e ha richiesto l'invio dell'SMS K207815200 al 4460. Sul sito Web di Kaspersky Lab è presente una pagina che consente di generare codici di risposta ransomware: support.kaspersky.ru/ virus/deblocker
Tuttavia, dopo l'introduzione del codice, le funzioni del sistema operativo sono rimaste bloccate e l'avvio di qualsiasi programma antivirus ha portato all'apertura istantanea di una finestra antivirus che emulava diligentemente il funzionamento dell'antivirus:
I tentativi di avvio in modalità provvisoria hanno portato esattamente allo stesso risultato. Inoltre, la questione era complicata dal fatto che le password per tutti gli account amministratore erano vuote e l'accesso a un computer tramite la rete per gli amministratori con una password vuota veniva chiuso per impostazione predefinita.
Ho dovuto fare il boot da un disco flash USB (per definizione, un netbook non ha un'unità disco). Il modo più semplice per creare un'unità USB avviabile è:
1. Formatta il disco in NTFS
2. Rendi attiva la partizione (diskpart -> seleziona disco x -> seleziona partizione x -> attiva)
3. Utilizzare l'utilità \boot\bootsect.exe dalla distribuzione Vista/Windows 2008/Windows 7: bootsect /nt60 X: /mbr
4. Copia tutti i file di distribuzione (avevo a portata di mano una distribuzione di Windows 2008) su un disco USB. Tutto può essere caricato.
Dal momento che non è necessario installare il sistema operativo, ma trattare i virus, copiamo una serie di cure gratuite (AVZ, CureIt) e utilità ausiliarie (guardando avanti, avevo bisogno di Streams di Mark Russinovich) e Far su disco. Riavviamo il netbook, impostiamo il BIOS per l'avvio da USB.
Il programma di installazione di Windows 2008 è caricato, siamo d'accordo con la scelta della lingua, Installa ora e poi premi Maiusc + F10. Viene visualizzata una finestra del prompt dei comandi da cui possiamo eseguire i nostri strumenti antivirus e cercare un'infezione nell'unità di sistema. Qui mi sono imbattuto in una difficoltà, CureIt ha fatto cadere il sistema nella schermata blu della morte giurando sull'errore di lavorare con NTFS e AVZ, sebbene abbia funzionato, non è riuscito a trovare nulla. A quanto pare il virus è molto, molto fresco. L'unico indizio è un messaggio di AVZ che ha trovato codice eseguibile in un flusso NTSF aggiuntivo per uno dei file nella directory di Windows. Questo mi è sembrato strano e sospetto, dal momento che flussi NTFS aggiuntivi vengono utilizzati in casi molto specifici e nulla di eseguibile dovrebbe essere archiviato lì su macchine normali.
Quindi ho dovuto scaricare l'utilità Streams (http://technet.microsoft.com/en-us/sysinternals/bb897440.aspx) da Mark ed eliminare questo flusso. La sua dimensione era di 126464 byte, proprio come i file dll che il virus ha disposto sulle unità flash inserite nel sistema.
Successivamente, ho utilizzato Far per cercare file della stessa dimensione nell'intero disco di sistema e ho trovato altri 5 o 6 file sospetti creati negli ultimi 2-3 giorni. Sono stati rimossi allo stesso modo. Successivamente, CureIt è stato in grado di funzionare (apparentemente si è imbattuto in thread aggiuntivi) e ha eliminato con successo altri due trojan :)
Dopo il riavvio, tutto ha funzionato, le esecuzioni aggiuntive di scanner antivirus non hanno trovato nulla. Con l'aiuto di AVZ, sono state ripristinate le politiche che limitavano le funzioni del sistema operativo. Ad un amico è stato dato un severo suggerimento su quanto sia importante usare gli antivirus, soprattutto perché ce ne sono molti gratuiti (
È già passata una settimana da quando Petya si è asciugato in Ucraina. In generale, più di cinquanta paesi in tutto il mondo hanno sofferto di questo virus di crittografia, ma il 75% degli attacchi informatici di massa ha colpito l'Ucraina. Le istituzioni statali e finanziarie in tutto il paese sono state colpite, con Ukrenergo e Kievenergo tra le prime a riferire che i loro sistemi erano stati violati. Il virus Petya.A ha utilizzato il programma di contabilità M.E.Doc per penetrarlo e bloccarlo. Questo software è molto popolare tra varie istituzioni in Ucraina, che è diventato fatale. Di conseguenza, per alcune aziende è stato necessario molto tempo per ripristinare il sistema dopo il virus Petya. Alcuni sono riusciti a riprendere il lavoro solo ieri, 6 giorni dopo il virus ransomware.
L'obiettivo del virus Petya
Lo scopo della maggior parte dei virus ransomware è l'estorsione. Crittografano le informazioni sul PC della vittima e chiedono denaro alla vittima per ottenere una chiave che ripristinerà l'accesso ai dati crittografati. Ma i truffatori non sempre mantengono la parola data. Alcuni ransomware semplicemente non sono progettati per essere decifrati e il virus Petya è uno di questi.
Questa triste notizia è stata riportata dagli specialisti di Kaspersky Lab. Per recuperare i dati dopo un virus ransomware, è necessario un identificatore di installazione del virus univoco. Ma nella situazione con il nuovo virus, non genera affatto un identificatore, ovvero i creatori del malware non hanno nemmeno considerato l'opzione di ripristinare il PC dopo il virus Petya.
Ma allo stesso tempo, le vittime hanno ricevuto un messaggio in cui veniva chiamato l'indirizzo dove trasferire 300 dollari in bitcoin per poter ripristinare il sistema. In questi casi, gli esperti non consigliano di assistere gli hacker, ma comunque i creatori di "Petya" sono riusciti a guadagnare più di $ 10.000 in 2 giorni dopo un massiccio attacco informatico. Ma gli esperti sono sicuri che l'estorsione non fosse il loro compito principale, poiché questo meccanismo era mal congegnato, a differenza di altri meccanismi del virus. Da ciò si può presumere che lo scopo del virus Petya fosse quello di destabilizzare il lavoro delle imprese globali. È anche del tutto possibile che gli hacker siano stati solo frettolosi e mal pensati sulla parte di ottenere i soldi.
Ripristino del PC dopo il virus Petya
Sfortunatamente, una volta che Petya è completamente infetto, i dati sul computer non possono essere recuperati. Tuttavia, esiste un modo per sbloccare il computer dopo il virus Petya se il crittografo non ha avuto il tempo di crittografare completamente i dati. È stato reso pubblico sul sito ufficiale di Cyberpolice il 2 luglio.
Esistono tre modi per essere infettati dal virus Petya
- tutte le informazioni sul PC sono completamente crittografate, sullo schermo viene visualizzata una finestra con l'estorsione di denaro;
- I dati del PC sono parzialmente crittografati. Il processo di crittografia è stato interrotto da fattori esterni (compreso l'alimentazione);
- Il PC è infetto, ma il processo di crittografia della tabella MFT non è stato avviato.
Nel primo caso, tutto va male - il sistema non è recuperabile. Almeno per ora.
Nelle ultime due opzioni, la situazione è risolvibile.
Per recuperare i dati che sono stati parzialmente crittografati, si consiglia di caricare il disco di installazione di Windows:
Se il disco rigido non è stato danneggiato dal virus ransomware, il sistema operativo avviabile vedrà i file e avvierà il ripristino dell'MBR:
Per ogni versione di Windows, questo processo ha le sue sfumature.
Windows XP
Dopo aver caricato il disco di installazione, sullo schermo viene visualizzata la finestra "Impostazioni di Windows XP Professional", lì è necessario selezionare "per ripristinare Windows XP utilizzando la console di ripristino, premere R". Dopo aver premuto R, la console di ripristino inizierà a caricarsi.
Se i dispositivi hanno un sistema operativo installato e si trova sull'unità C, verrà visualizzata una notifica:
"1: C:\WINDOWS quale copia di Windows devo usare per accedere?" Di conseguenza, è necessario premere il tasto "1" e "Enter".
Quindi apparirà: "Inserisci password amministratore". Immettere la password e premere "Invio" (se non è presente la password, premere "Invio").
Dovrebbe apparire il prompt di sistema: C:\WINDOWS> , digitare fixmbr.
Quindi apparirà "AVVISO".
Per confermare la nuova voce MBR, è necessario premere "y".
Quindi la notifica "Un nuovo record di avvio principale è in corso sul disco fisico \Device\Harddisk0\Partition0".
E: "Il nuovo record di avvio principale è stato creato correttamente."
Windows Vista:
Qui la situazione è più semplice. Avvia il sistema operativo, seleziona la lingua e il layout della tastiera. Quindi sullo schermo apparirà "Ripara il tuo computer" Apparirà un menu in cui dovrai selezionare "Avanti". Apparirà una finestra con i parametri del sistema ripristinato, in cui è necessario fare clic sulla riga di comando, in cui è necessario inserire bootrec /FixMbr.
Successivamente, è necessario attendere il completamento del processo, se tutto è andato bene, verrà visualizzato un messaggio di conferma: premere "Invio" e il computer inizierà a riavviarsi. Qualunque cosa.
Windows 7:
Il processo di ripristino è simile a Vista. Dopo aver selezionato la lingua e il layout della tastiera, selezionare il sistema operativo, quindi fare clic su "Avanti". Nella nuova finestra, seleziona la voce "Utilizza strumenti di ripristino che possono aiutare a risolvere i problemi di avvio di Windows".
Tutte le altre azioni sono simili a Vista.
Windows 8 e 10:
Avvia il sistema operativo, nella finestra che appare, seleziona Ripara il tuo computer> risoluzione dei problemi, dove facendo clic sulla riga di comando, inserisci bootrec /FixMbr. Una volta completato il processo, premi "Invio" e riavvia il dispositivo.
Dopo che il processo di ripristino dell'MBR è stato completato correttamente (indipendentemente dalla versione di Windows), è necessario eseguire la scansione del disco con un antivirus.
Nel caso in cui il processo di crittografia sia stato avviato da un virus, è possibile utilizzare un software di recupero file come Rstudio. Dopo averli copiati su un supporto rimovibile, è necessario reinstallare il sistema.
Nel caso in cui utilizzi programmi di recupero dati scritti nel settore di avvio, come Acronis True Image, puoi essere certo che "Petya" non ha influito su questo settore. E questo significa che puoi riportare il sistema a uno stato di lavoro, senza reinstallare.
Se trovi un errore, evidenzia un pezzo di testo e fai clic Ctrl+Invio.
:: Introduzione
Dopo aver rimosso i virus, il sistema potrebbe non funzionare correttamente (o non caricarsi affatto), l'accesso a Internet o ad alcuni siti potrebbe andare perso, quindi, dopo che l'antivirus ha segnalato " Tutti i virus vengono distrutti"L'utente rimane solo con un sistema difettoso. I problemi possono anche essere causati da errori del programma o dalla loro incompatibilità con il sistema. Diamo un'occhiata alle opzioni per risolvere i problemi.
:: Internet non funziona
La causa dei problemi di rete può essere sia una conseguenza di un virus che il lavoro di un software corrotto. Ci sono diverse soluzioni a questo problema. Diamo un'occhiata a uno qui - Utilità AntiSMS.
Esegui con diritti di amministratore ed esegui un ripristino completo delle impostazioni di rete. Il funzionamento dell'utility è semplice: un clic del mouse e il gioco è fatto.
:: Ripristino configurazione di sistema di Windows standard
Se il ripristino del sistema non è stato disabilitato nel sistema, utilizzare questa funzionalità standard di Windows per risolvere i problemi. Inoltre, questo metodo di ripristino del sistema è efficace se il sistema è danneggiato dalle azioni di utenti inesperti o da errori del programma.
Windows XP: Cominciare -> Tutti i programmi -> Standard -> Servizio -> Ripristino del sistema. E scegli un punto di ripristino alcuni giorni prima della comparsa dei problemi.
: Apri Ripristino configurazione di sistema facendo clic sul pulsante Start. Nella casella di ricerca, digita Ripristino configurazione di sistema, quindi seleziona Ripristino configurazione di sistema dall'elenco dei risultati. Immettere la password dell'amministratore o la conferma della password, se richiesto. Segui la procedura guidata per selezionare un punto di ripristino e ripristinare il computer.
Se il computer non si avvia quindi prova ad andare a Modalità provvisoria di Windows. Per selezionarlo, è necessario accedere al menu di servizio: per chiamarlo, premere più volte il tasto F8(o F5) subito dopo aver acceso il computer. In modalità provvisoria usa anche " Cominciare" per ripristinare il sistema, come descritto sopra.
Buono a sapersi: nel sistema "7" di Windows è possibile richiamare il ripristino tramite la voce "Risoluzione dei problemi del computer".
Menu di opzioni di avvio aggiuntive Windows "XP:
Menu delle opzioni di avvio avanzate di Windows"7:
Se la modalità provvisoria non funziona quindi prova ad andare a Modalità provvisoria con supporto della riga di comando. In questa modalità, il pulsante "Start" non esisterà più, quindi dovrai chiamare il ripristino del sistema tramite la riga di comando, per questo, digita la riga nella riga di comando:
%SystemRoot%\system32\ripristino\rstrui.exe
e premere il tasto accedere. Questo è per Windows XP!
Per le versioni Windows Vista/7/8, basta inserire il comando rstrui.exe e premere accedere.
Se non ha funzionato e hai un disco di avvio di Windows, quindi puoi eseguire l'avvio da esso e provare a ripristinare il sistema. Considera l'esempio di Windows "7:
inserire il disco di avvio nel computer e avviare da esso.
Selezionare " Ripristino del sistema".
Si aprirà una finestra con le opzioni.
Selezionare " Avvia ripristino", quindi prova ad avviare nel solito modo. Se non funziona, seleziona " Ripristino del sistema" (questo è un analogo del ripristino del sistema, di cui si è discusso sopra) e seleziona il punto di ripristino al momento del normale funzionamento del sistema. Prova ad avviare nel solito modo. Se ciò non aiuta, seleziona " Riga di comando" e digita nella riga di comando chkdsk c: /f /r e premere accedere- Verrà avviato un controllo degli errori del disco rigido, forse questo controllo darà esito positivo.
:: Ripristino dei file di sistema con il comando sfc
Se, dopo il trattamento, Windows non funziona correttamente Avvia -> Esegui, inserisci il comando:
sfc /scannow
e premere accedere- Windows verificherà l'integrità dei file protetti sul tuo computer. Il ripristino potrebbe richiedere un disco di installazione del sistema operativo.
Se non trovi il pulsante "Esegui", puoi chiamarlo con la combinazione di tasti [ Vincita] + [R]. Se il sistema non si avvia normalmente, utilizzare Modalità sicura.
Successivamente, analizzeremo una serie di programmi di terze parti per il ripristino del sistema dopo un virus. io raccomando usali in modalità provvisoria di Windows. Non dimenticare i diritti di amministratore.
:: Ripara con Windows Repair (tutto in uno)
Riparazione di Windows (tutto in uno)è un'utilità che ti aiuterà a correggere gli errori nel registro di sistema, ripristinare le impostazioni originali modificate quando il tuo computer è stato infettato o installato programmi, ripristinare il funzionamento stabile del browser Internet Explorer, del servizio Windows Update, di Windows Firewall e di altri servizi e componenti del sistema operativo.
Decomprimere l'archivio scaricato, quindi eseguire il programma. Necessariamente aggiornalo: File -> Aggiornamento database.
Correre" Procedura guidata per la risoluzione dei problemi" (sul menu " File").
Fare clic su " Cominciare". Se AVZ ha riscontrato problemi, controllali e fai clic su " Risolvi i problemi segnalati".
Poi nel menu File"Selezionare" Ripristino del sistema". Seleziona tutte le caselle di controllo TRANNE questi:
- Correzione automatica delle impostazioni SPl/LSP;
- Ripristina le impostazioni SPI/LSP e TCP/IP (XP+);
- Ricreazione completa delle impostazioni SPI;
- Cambia il DNS di tutte le connessioni a Google DNS
Quindi premere " Eseguire operazioni contrassegnate", attendi un momento, chiudi il programma e riavvia il computer.
Se, dopo aver infettato un computer, si verificano problemi con l'accesso ad alcuni siti, ad esempio, i social network segnalano erroneamente il blocco o viene visualizzata una sorta di pubblicità per mancini, esiste la possibilità che il DNS venga sostituito da uno dannoso - in in questo caso, puoi usare " Cambia il DNS di tutte le connessioni a Google DNS". Ma fallo solo dopo aver controllato il computer con gli scanner antivirus (se non hanno aiutato). Puoi anche provare questo elemento se non riesci a ripristinare Internet dopo l'infezione.
paragrafo " Correzione automatica delle impostazioni SPl/LSP" può essere utilizzato se l'accesso a Internet viene perso dopo il virus (dopo l'applicazione, riavviare il computer). Elemento " Ripristina le impostazioni SPI/LSP e TCP/IP (XP+)"Ha anche lo scopo di ripristinare l'accesso alla rete, ma questo elemento può essere utilizzato solo se nient'altro aiuta (dopo l'applicazione, riavviare il computer). Se entrambi gli elementi sopra non hanno aiutato a restituire Internet, c'è un altro elemento " Ricreazione completa delle impostazioni SPI" - applica solo se nient'altro aiuta. Presta attenzione a questi tre punti che stiamo parlando del fatto che non c'è affatto accesso alla rete.
:: Controlla il disco rigido (chkdsk)
Questo è un programma Windows standard per controllare gli errori del disco rigido. aprire" Il mio computer" (in Windows "7 è solo" Un computer") sul desktop o tramite il menu Cominciare". Seleziona la partizione o il disco desiderato, fai clic con il pulsante destro del mouse su di esso, fai clic su " Proprietà", seleziona la scheda " Servizio" e premere " Esegui un controllo", metti le caselle di controllo su " Correggi automaticamente gli errori di sistema" E " Scansiona e ripara i settori danneggiati". Se stai controllando la partizione di sistema, dovrai programmare un controllo per la prossima accensione (dovrai riavviare il computer per controllare).
Un esempio di avvio tramite la riga di comando: chkdsk c: /f /r
:: Windows non si avvia in nessuna modalità
La causa dell'errore di Windows potrebbe essere il danneggiamento del registro o dei file di sistema. Dovrai usare un LiveCD: questo è un disco o un'unità flash che funziona bypassando il sistema installato sul computer. Dovrai scaricare un'immagine (un file con estensione iso) su un computer integro e montarla su un disco o un'unità flash, quindi da essa.
Noi useremo LiveCD AntiSMS: scarica la pagina di download. C'è un programma speciale nella pagina di download per scrivere su un'unità flash.
Dopo aver avviato dal LiveCD sul computer problematico, vedrai il desktop normale. Fare clic sull'etichetta " AntiSMS". Dopo che l'utilità AntiSMS segnala che tutto è a posto, rimuovere il LiveCD e avviare come di consueto. L'utilità AntiSMS ripristina alcuni rami di registro e file di sistema necessari per il corretto funzionamento di Windows - forse questo sarà sufficiente per ripristinare il sistema.
Se non aiuta, prova a ripristinare il registro da un backup:
per Windows 7 : avviare da LiveCD AntiSMS ed eseguire Total Commander, che è incluso in questo LiveCD. Vai alla cartella Windows\Sistema32\Config(questa è la cartella Windows installata sul computer problematico). File SISTEMA e SOFTWARE rinominare in SISTEMA.difettoso e SOFTWARE.guasto rispettivamente. Quindi copia i file dalla cartella SISTEMA e SOFTWARE in una cartella Windows\Sistema32\Config Questo dovrebbe aiutare, prova ad avviare il computer normalmente.
per Windows XP : vai alla cartella windows\system32\config, File sistema e Software rinominare in sistema.cattivo e software.cattivo rispettivamente. Quindi, copia i file sistema e Software da una cartella finestre\riparazione in una cartella windows\system32\config
Per riferimento: nella cartella Windows\System32\Config\RegBack vengono archiviate le copie di backup degli hive del registro. Li crea Agenda ogni dieci giorni.
Un virus è un tipo di software dannoso che penetra nelle aree della memoria di sistema, nel codice di altri programmi e nei settori di avvio. È in grado di eliminare dati importanti da un disco rigido, un'unità USB o una scheda di memoria.
La maggior parte degli utenti non sa come recuperare i file dopo un attacco di virus. In questo articolo, vogliamo dirti come farlo in modo semplice e veloce. Ci auguriamo che queste informazioni ti siano utili. Esistono due metodi principali che puoi utilizzare per rimuovere facilmente il virus e recuperare i dati cancellati dopo un attacco di virus.
Elimina il virus utilizzando il prompt dei comandi
1) Fare clic sul pulsante "Avvia". Inserisci CMD nella barra di ricerca. Vedrai il "Prompt dei comandi" nella parte superiore della finestra pop-up. Premere Invio.
2) Eseguire il prompt dei comandi e digitare: “attrib –h –r –s /s /d driver_name\*.*”
Dopo questo passaggio, Windows inizierà a ripristinare il disco rigido, la scheda di memoria o l'USB infetti da virus. Ci vorrà del tempo prima che il processo sia completato.
Per avviare il ripristino di Windows, fare clic sul pulsante "Avvia". Digita Ripristina nella barra di ricerca. Nella finestra successiva fare clic su "Avvia Ripristino configurazione di sistema" → "Avanti" e selezionare il punto di ripristino desiderato.
Un'altra variante del percorso è “Pannello di controllo” → “Sistema” → “Protezione del sistema”. Apparirà una finestra di preparazione al ripristino. Quindi il computer si riavvierà e verrà visualizzato un messaggio che dice "Ripristino configurazione di sistema completato correttamente". Se non ha risolto il tuo problema, prova a tornare a un altro punto di ripristino. Questo è tutto da dire sul secondo metodo.
Magic Partition Recovery: ripristino di file e cartelle mancanti dopo un attacco di virus
Per un ripristino affidabile dei file eliminati dai virus, utilizzare Magic Partition Recovery. Il programma si basa sull'accesso diretto di basso livello al disco. Pertanto, ignorerà il blocco dei virus e leggerà tutti i tuoi file.
Scarica e installa il programma, quindi analizza il disco, l'unità flash o la scheda di memoria. Dopo l'analisi, il programma visualizza l'elenco delle cartelle sul disco selezionato. Dopo aver selezionato la cartella necessaria a sinistra, puoi visualizzarla nella sezione di destra.
Pertanto, il programma offre la possibilità di visualizzare il contenuto del disco allo stesso modo di Windows Explorer standard. Oltre ai file esistenti, verranno visualizzati i file e le cartelle eliminati. Saranno contrassegnati con una croce rossa speciale, rendendo molto più facile il recupero dei file eliminati.
Se hai perso i tuoi file dopo un attacco di virus, Magic Partition Recovery ti aiuterà a ripristinare tutto senza troppi sforzi.
