前段時間的wannacry平息之后不久,突然就爆發了
Petya病毒及其變種病毒,同樣的類型的變種病毒以及同樣是勒索比特幣的問題。所以這個小編當然也比較關注這個消息了。同樣的,我也想了解一下這個病毒是怎么運作的。同時給大家講解一下
Petya病毒以及其變種的運作原理和損失挽救方案,下面小編給大家帶來網友分享的Petya病毒以及其變種的運作原理和損失挽救方案。
Petya病毒以及其變種運作原理分析:
我拿到了Petya樣本(恕不提供下載)之后,重新調用回了之前用于測試的虛擬機,將病毒樣本丟進去準備測試。
雙擊之后,它會自動往硬盤寫入一些東西,閃過一行英文之后就立即重啟電腦了。(閃的速度太快了我沒看清楚是什么內容)
這個時候重啟進PE,可以看到數據還在這里。
但是如果通過外界的啟動菜單來從硬盤啟動,又可以正常啟動回Windows。
從這些特性說明,Petya是典型的MBR引導區病毒,觸發的時候首先惡意寫入了MBR,但不破壞PBR。
因此:
只要你使用的是UEFI啟動方式且為GPT分區表,該病毒對你的電腦就徹底失去作用,不會有任何影響。
但如果你用的是Legacy啟動方式(也就是MBR),你可以使用任何可能的防護軟件抵御MBR寫入動作。
那么如果撤去外界啟動菜單直接從硬盤的MBR啟動會發生什么呢?
運行一個假的chkdsk程序,實際上這個操作是破壞扇區。
不過,此操作并非全盤加密,因為全盤加密真正操作起來相當費時。如果你用過BitLocker全盤加密的話,應該知道加密/解密過程需要花多長時間。
在我寫這篇文章之前事先測試了一次,并在真正開始破壞之前我復制了整個硬盤的前1000000個扇區的數據(大概490MB)用于對比。
這個過程跑完之后,就是閃瞎眼的骷髏標志……
按下任意鍵之后,就進入了勒索提示。
我使用的這種Petya樣本是將信息填寫到這個onion網站上的,不過本質其實是一樣的。
在這個時候,你進入PE訪問整個硬盤,你會發現磁盤全部變成RAW無法訪問。
這個時候將被破壞的硬盤的前1000000個扇區提取出來,和之前備份的進行對比。我們使用的是UltraCompare這個工具。
我們這里可以看到,發生變化的主要是一直到0x00006350區段的所有內容,換算一下大概是28扇區,14KB的數據量。
而上面顯示,發生變化的內容有10965266字節,也大概是10MB的數據量,實際上遠沒有這么多。
對Petya病毒的總結:
1、它是一種MBR引導區病毒;
2、類似當年的CIH,為了加快破壞文件速度,它不使用全盤加密而是直接破壞的分區表;
3、但是,它破壞分區表并不是簡單地刪除分區表,而是破壞了每個分區的文件系統,導致系統無法再正確讀取這些磁盤的數據,因此也無法靠修復分區表來解決此問題。
損失挽救方案:
因此,想救回這些文件,你可以使用任何主流的支持從RAW分區恢復數據的數據恢復軟件來很方便地救回這些數據,比如說易數科技的DiskGenius、X-Ways的WinHex。
你可以選擇在PE下使用這類數據恢復軟件,也可以選擇將硬盤外接到別的電腦上來使用。
另外特別說明,這種情況出現之后,不要使用chkdsk磁盤掃描工具來修復磁盤,否則它會刪除這些你還可能救得回來的文件。
我這里使用的是專業版,為了支持開發商對數據恢復做出的努力,強烈建議購買正版。購買這類數據恢復軟件付出的代價也比向黑客支付300美元的贖金低得多,帶來的好處就比冒著可能無法恢復數據的風險支付贖金大得多。
當然,如果你的被破壞的分區是使用像BitLocker這樣的加密程序加密過的,那么數據拯救回來的可能性就比較低了。
恢復數據之后,這些文件的文件名可能已經丟失了,但是文件的狀態非常棒,數據也還完好,你可以把它們恢復到你的外接的存儲設備上,重新整理一下文件名和位置,再來重新安裝操作系統。
不過重新安裝系統的時候,如果條件允許,請一定要使用UEFI+GPT這種組合的安裝模式且關閉CSM來抵御引導區病毒的襲擊,而且需要安裝至少Windows 8。
如果電腦不能支持UEFI啟動模式,那么重裝系統完成之后,請一定要及時關閉可能的端口,安裝好系統更新并做好引導區防護工作,避免類似病毒的威脅。
數據無價,這是小編得出的結論,不管如何,重要數據文件備份到網盤或者移動硬盤才能更加安心。Petya病毒是一方面可以影響電腦數據的東西,還有人為損壞硬盤,硬盤的自然損壞,以及自己的錯誤操作都會導致數據丟失。所以請備份好自己的數據。