Восстановление загрузочного сектора (mbr) жесткого диска

Вирус Rombertik под увеличительным стеклом

Rombertik принадлежит к семейству вредителей, имеющих функцию самоуничтожения. Другими словами, червь запрограммирован так, чтобы в случае обнаружения уничтожить данные, расположенные на жестких дисках.

Как и большинство современного вредоносного программного обеспечения, Rombertik попадает на компьютеры своих жертв через электронную почту. Этот метод называется «целевой фишинг », он заключается в целенаправленных атаках на конкретное лицо. При этом используется социальная инженерия
.

Вирус Rombertik скрывается в письмах в виде вредоносного PDF-файла, который на самом деле является исполняемым файлом Windows с расширением.scr. Чтобы запутать получателя, злоумышленники меняют значок файла на известный PDF или называют файл . По умолчанию в настройках системы Windows отображение расширений известных файлов отключено, поэтому приставка.scr может быть невидима для пользователя.

Когда Rombertik установится на компьютере своей жертвы, начинает собирать данные для входа в систему и другую, ценную с точки зрения пользователя, информацию, в том числе конфиденциальные данные . Он также проникает в веб-браузеры Firefox, Chrome или Internet Explorer.

Оказавшись в браузере червь может скопировать данные, введенные в формы веб-сайтов даже с безопасным протоколом HTTPS , например, на веб-сайтах банков. Он делает это прежде, чем данные будут зашифрованы через этот протокол. Собранная информация передается на сервер хакеров, которые затем продают её на черном рынке.

Компьютерный вирус Rombertik
оснащен защитным механизмом, затрудняющим его обнаружение и анализирование экспертами по вопросам безопасности. Обычно, компьютерные вирусы сами удаляют себя в момент обнаружения, Rombertik идет дальше. Если он обнаружит, что его вычислили с помощью антивирусного программного обеспечения, то попытается перезаписать основную загрузочную запись, так называемый Master Boot Record на жестком диске компьютера.

MBR содержит системный загрузчик и таблицу разделов, и, если он будет изменен, система не сможет запуститься, что вызывает бесконечные перезапуски. Если по каким-то причинам вирусу не удастся изменить содержимое MBR (происходит это, однако, относительно редко), от шифруются все файлы, расположенные в корневом каталоге компьютера (C:\Documents and Settings\).

Операция под наркозом

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker.

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это {DEL} или {F2}, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения {F10} и выйдите из BIOS.

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать {F12}, {F11} либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

13.6. Как защитить компьютер от вирусов

Рассмотрим основные меры по защите ЭВМ от заражения вирусами:

  • Необходимо оснастить ЭВМ современными антивирусными
    программами и постоянно обновлять их версии.
  • При работе в сети обязательно должна быть установлена программа-фильтр.
  • Перед считыванием с дискет информации, записанной на
    других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
  • При переносе файлов в архивированном виде
    необходимо их проверять сразу же после разархивации.
  • При работе на других компьютерах необходимо защищать
    свои дискеты от записи.
  • Делать архивные копии ценной информации на других носителях.
  • Не оставлять дискету в дисководе при включении или перезагрузке
    ЭВМ, это может привести к заражению загрузочными вирусами.
  • Получив электронное письмо, к которому приложен исполняемый файл,
    не следует запускать этот файл без предварительной проверки.
  • Необходимо иметь аварийную загрузочную дискету, с которой можно
    будет загрузиться, если система откажется сделать это обычным образом

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить
системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл

«Ваш компьютер заблокирован Internet Police
за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»

Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна . Кому интнресно, тело вируса
можно взять здесь (пароль к архиву — infected):

UPD (13.07.2012):

Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие . Скачать тело вируса (пароль к архиву — infected):

Описание проблемы:
Сразу после включения питания компьютера начинает работать процедура проверки POST
(Power On Self Test
). Процедура POST
считывает с жесткого диска главную загрузочную запись (MBR
Master Boot Record
) и записывает ее в оперативную память компьютера. Главная загрузочная запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска. Загрузочные вирусы при заражении заменяют главную загрузочную запись, после чего компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов. После этого при каждой загрузке компьютера вирус получает управление и резидентно размещает себя в памяти.

Решения проблемы:
Если антивирус не может удалить вирус из MBR
сектора, то для решения проблемы можно воспользоваться средствами Windows, а именно — восстановление системы. При помощи восстановления системы можно перезаписать основную загрузочную запись загрузочного раздела, и таким образом удалить вирус. Для работы понадобится загрузочный диск Windows.

Для запуска восстановления системы, необходимо запустить компьютер с загрузочного диска. Чтобы загрузиться с загрузочного диска нужно включить компьютер и нажимать кнопку Delete для входа в настройки BIOS, Установить загрузку с CD-ROM»а. Вставить загрузочный диск с установочным пакетом Windows и перезагрузить компьютер. Когда установщик Windows загрузит свои файлы в оперативную память ПК, появится диалоговое окно Установка Windows, содержащее меню выбора, из которого нужно выбрать пункт *Чтобы восстановить Windows с помощью консоли восстановления, нажмите .

Необходимо нажать клавишу R
. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C:
,

то появится следующее сообщение:

В какую копию Windows следует выполнить вход?

Нужно ввести 1
, нажать Enter
и ввести пароль администратора. Появится приглашение системы, ввести fixmbr.

Появится сообщение:

**ПРЕДУПРЕЖДЕНИЕ**

На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.

Необходимые действия после восстановления

После успешного восстановления загрузки Windows настоятельно рекомендуется выполнить несколько дополнительных действий. Для начала проверьте целостность файловой системы и жесткого диска утилитой «chkdsk». Затем воспользуйтесь командой «sfc» (System File Checker) для поиска и исправления любых поврежденных системных файлов.

Ошибки загрузчика выглядят пугающе из-за малого количества информации, получаемой вами в момент их возникновения. Но часто их достаточно легко исправить. Необходимо лишь знать, что искать, и иметь под рукой готовые инструменты для восстановления.

Как мне избавиться от вируса загрузочного сектора?

Лучший и самый эффективный способ избавиться от вируса загрузочного сектора — это использовать антивирусное программное обеспечение , а также приложение для удаления вредоносных программ. 

Антивирусное программное обеспечение может занять несколько часов, чтобы завершить процесс, в зависимости от скорости вашего компьютера, но оно также предлагает вам лучшие способы удаления вредоносных файлов. 

Многие антивирусные программные средства также предлагают защиту загрузочного сектора, так что основная загрузочная запись вашего жесткого диска защищена от незаконного доступа. В худшем случае некоторые антивирусные программы также включают в себя загрузочные физические носители, чтобы вы могли легче удалить вирус загрузочного сектора. 

Также стоит установить средство удаления вредоносных программ, которое помогает обнаруживать любые другие вредоносные программы в вашей системе задолго до того, как они вызовут какие-либо существенные проблемы на вашем компьютере. 

Как и антивирусное программное обеспечение, сканирование вредоносных программ может занять много часов в зависимости от размера жесткого диска вашего компьютера, а также его скорости. 

В отличие от других вирусов, восстановление системы и переформатирование жесткого диска не являются эффективным средством удаления вируса загрузочного сектора. 

Однако можно использовать бесплатную загрузочную антивирусную программу для обнаружения проблем перед загрузкой в ​​Windows. 

Восстанавливаем диски с помощью Acronis True Image 2016

Программное обеспечение Acronis True Image 2016 является идеальным инструментом для создания полного бекапа всех локальных разделов, включая системный. Этой возможностью пользуются множество администраторов во всем мире. Созданный бекап локальных дисков можно восстановить в очень короткое время. Например, если система подверглась заражению вируса или HDD сломался, в этом случае вы восстановите все диски ОС за короткий промежуток времени. Найти Acronis True Image 2016 можно на ее официальном сайте www.acronis.com. Запустив рассматриваемую программу, мы попадем в такое окно.

Первым делом мы покажем нашим читателям, как можно создать резервную копию локальных разделов Acronis True Image 2016. На первой вкладке «Резервное копирование» видно, что выбран весь компьютер для бекапа. То есть будет проводиться полный бекап всех локальных разделов, включая системный. В следующем блоке нужно выбрать место для бекапа. В нашем случае это локальный диск E. После выбора типа резервных данных и места их сохранения нажмем кнопку Создать копию, находящуюся в нижнем правом углу.

В зависимости от объема сохраняемых данных будет зависеть время создания резервной копии.

Завершив резервное копирование, опишем процесс восстановления компьютера. Для этого нам нужно создать загрузочный диск или флешку Acronis True Image 2016. Сделать это можно, перейдя на вкладки «ИНСТРУМЕНТЫ/МАСТЕР СОЗДАНИЯ ЗАГРУЗОЧНЫХ НАКОПИТЕЛЕЙ». Ниже показан мастер, который должен открыться.

В этом мастере мы выберем первый пункт и продолжим. В появившемся окне выберем, куда будем сохранять загрузочный накопитель: в образ или на флешку.

После сохранения загрузочного накопителя мастер выдаст завершающее окно.

Создав загрузочную флешку или оптический диск с Acronis True Image 2016, можно приступать к восстановлению данных. Для этого загрузимся с загрузочной флешки при старте компьютера. Загрузившись с загрузочного накопителя, мы попадаем в меню Acronis True Image 2016. Выбираем в этом меню первый пункт, после чего попадаем в основное окно Acronis True Image.

В окне программы переходим на вкладку «Восстановление» и находим ранее созданную нами резервную копию всей системы.

Теперь, чтобы восстановить системный диск с Windows и локальные диски, нажмем кнопку Восстановление дисков.

В появившемся мастере выберем пункт «Восстановить диски и разделы» и продолжим.

В следующем окне выберем все локальные диски и продолжим работу мастера.

В пунктах «Место назначения» для первого и второго дисков выберем оригинальные HDD. Если в системе установлено много винчестеров, то будьте внимательны, чтобы не перепутать винты. В завершающем окне нажмем кнопку Приступить.

Время восстановления резервной копии зависит от объема и скорости HDD. В нашем случае потребовалось 10 минут.

Из примера видно, как легко можно делать резервную копию всего компьютера, поэтому, если вы освоите программный пакет Acronis True Image 2016, то вы сможете легко восстановить его работоспособность в случаях, если система заражена или винчестер поломался. Также после освоения программы у вас не будут возникать вопросы о том, как восстановить данные с жесткого диска.

Считываем показания SMART с винчестера

Если у вас на компьютере не копируются файлы, программы после открытия зависают, то возможной причиной этому может быть неисправный HDD. Обычно такое поведение операционной системы связано с неисправными секторами в жестком диске. Чтобы быть уверенным, что проблема связана с битыми секторами HDD, а не с вредоносными программами, первым делом необходимо подтвердить эту догадку. Если на компьютере наблюдается описанная выше ситуация, мы установим на него утилиту CrystalDiskInfo. Эта утилита описывает состояние всех винчестеров, установленных у вас на компьютере. Скачать CrystalDiskInfo можно с ее официального сайта https://crystalmark.info. Утилита поддерживает ОС Windows, начиная с XP и заканчивая Windows 10.

Для проверки информации о винчестере утилита использует технологию самодиагностики SMART. Технология SMART используется на всех выпускаемых HDD. Ниже изображен пример проверки показаний SMART с помощью утилиты CrystalDiskInfo в винчестере WD1200JS. Из этого окна видно, что программа обнаружила его состояние, как «Хорошо» — это означает, что этот винчестер в полном порядке и о нем не следует беспокоиться.

На следующем изображении в показаниях SMART утилита CrystalDiskInfo обнаружила состояние винта сообщением «Тревога». Это сообщение означает, что в винчестере уже присутствуют битые сектора или он перегревается.

Если вы увидите сообщение «Плохое», то это будет означать, что на винчестере переназначены все битые сектора и в скором времени он полностью накроется.

В обоих случаях, когда программа обнаружила сообщения «Тревога» и «Плохое», вам следует сделать резервную копию всех данных на компьютере, так как в скором времени винт придет в негодность.

Одним из решений, которое может временно починить ваш винт, является утилита Victoria. Эта утилита может сделать REMAP BAD секторов, то есть она переназначит битые сектора на резервные. В следующем разделе мы подробно опишем процесс REMAP BAD секторов с помощью утилиты Victoria.

Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите {WIN}+{R}, напишите notepad и нажмите {ENTER}. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки.

Восстанавливаем загрузчик Linux

загрузчик Grub 2

Эта инструкция поможет когда:

  • Переустанавливали Windows и кроме него был ещё linux, который стал невиден
  • Linux перестал загружаться, даже будучи единственной ОС

1) Загружаемся с LiveCD (LiveDVD, LiveUSB)

2) Смотрим таблицу разделов:

$ sudo fdisk -l

Устр-во Загр     Начало       Конец       Блоки   Id  Система
/dev/sda1   *           1          13      102400    7  HPFS/NTFS
Раздел 1 не заканчивается на границе цилиндра.
/dev/sda2              14        7749    62139420    7  HPFS/NTFS
/dev/sda3            7750       23607   127377020    7  HPFS/NTFS
/dev/sda4           23607       30402    54577153    5  Расширенный
/dev/sda5           23607       30119    52301824   83  Linux
/dev/sda6           30119       30402     2274304   82  Linux своп / Solaris

/dev/sdb1   *           1        5099    40957686    7  HPFS/NTFS
/dev/sdb2            5100       16142    88701952    7  HPFS/NTFS
/dev/sdb3           16143       19457    26627737+  83  Linux

/dev/sdc1               1       30401   244196001    7  HPFS/NTFS

Ответ команды сокращён для наглядности. Видно, что в системе есть три диска. На двух первых есть загрузочные области и несколько разделов как Linux так и Windows (HPFS/NTFS). Нужно определиться какой из них будет восстанавливать (можно по очереди, отключив временно остальные диски). В случае с одним жёстким диском ситуация проще. Это будет /dev/sda

3) Монтируем Linux-раздел (здесь sda5, но если есть отдельный boot рездел, то нужно монтировать его), добавляем в него устройства и процессы, переходим в него, таким образом попадая в окружение ОС, которая установлена на компьютере:

$ sudo mount /dev/sda5 /mnt
$ sudo mount --bind /dev /mnt/dev
$ sudo mount --bind /proc /mnt/proc
$ sudo chroot /mnt

После перехода вам не придется использовать sudo, т.к. теперь все команды выполняются от рута (root):

4) Устанавливаем загрузчик

# grub-install /dev/sda

Если получили сообщение об ошибке, то обновляем информацию об устройсве /dev/sda и пробуем установить снова:

# grub-install --recheck /dev/sda
# grub-install /dev/sda

5) Выходим в окружение LiveCD ОС, отмонтируем разделы и перезагружаем компьютер:

# exit
$ sudo umount /mnt/dev
$ sudo umount /mnt/proc
$ sudo umount /mnt
$ sudo reboot

последняя команда может быть заменена на альтернативную:

$ sudo shutdown -r now

Сноски

  1. Программа Bootsect.exe обновляет основной загрузочный код разделов диска, чтобы обеспечить переключение между Bootmgr и загрузчиком NT (NTLDR). Это средство можно использовать для восстановления загрузочного сектора компьютера. Это средство заменяет FixFAT и FixNTFS.

Как я могу избежать заражения вирусом загрузочного сектора снова?

Есть несколько ключевых способов снизить вероятность повторного заражения вирусом загрузочного сектора (или заражения любым другим вирусом). Существуют также конкретные советы, которые имеют непосредственное отношение к вирусам загрузочного сектора.

  • Обновите антивирусное программное обеспечение и защиту от вредоносных программ. Постоянно обновляйте антивирусное программное обеспечение и защиту от вредоносных программ. Новые определения вирусов выпускаются регулярно, и они информируют ваш компьютер о том, что искать с новыми вирусами и вредоносными программами. Хорошее антивирусное программное обеспечение также защищает ваш загрузочный сектор и быстро обнаруживает, пытается ли вирус ему помешать. 
  • Остерегайтесь физических носителей. Будьте осторожны с тем, какие USB-флешки вы ставите на свой компьютер. Это один из ключевых способов воздействия вируса загрузочного сектора на вас. Перед использованием устройства рассмотрите источник USB-накопителя и никогда не размещайте его на своем компьютере перед загрузкой системы.
  • Будьте бдительны. Вирусы загрузочного сектора могут легко передаваться между разными компьютерами в одной сети. Будьте осторожны с сетями, к которым вы подключаете свою систему.
  • Не загружайте подозрительные файлы. Подумайте, откуда вы скачиваете файлы, и всегда открывайте их на наличие вирусов, прежде чем открывать их. В частности, торрент-файлы могут открыть вам вредоносные вирусы, которые могут заразить ваш загрузочный сектор. 

13.2. Какой вред наносят вирусы

Различные вирусы выполняют различные деструктивные действия:

  • выводят на экран мешающие текстовые сообщения;
  • создают звуковые эффекты;
  • создают видео эффекты;
  • замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
  • увеличивают износ оборудования;
  • вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
  • имитируют повторяющиеся ошибки работы операционной системы;
  • уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
  • осуществляют научный, технический, промышленный и финансовый шпионаж;
  • выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
  • делают незаконные отчисления с каждой финансовой операции и т.д.;

Главная опасность самовоспроизводящихся кодов заключается в том,
что программы-вирусы начинают жить собственной жизнью, практически не зависящей
от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный
процесс трудно остановить.

Поврежденная служебная зона жесткого диска

Эта проблема начала встречаться достаточно редко в последние годы и тем не менее, бывают случаи, когда создание новой служебной зоны (транслятора, дефект-листов и т.д., приводит к полному возвращению работоспособности накопителя). Иногда для этого требуется запуск полной проверки и создания новой «служебки», иногда лишь небольшие манипуляции, вроде очистки SMART, пересчета транслятора или сдвига служебных зон на небольшие величины. При механических повреждения восстановить работоспособность жесткого диска уже невозможно ни при каких обстоятельствах. Даже при вскрытии гермозоны винчестера в специальных условиях, добиться его нормальной работы практически всегда невозможно. Поэтому, если ваш диск подвергся любому физическому воздействию, с очень большой долей вероятности ремонту диск уже не подлежит, либо он совершенно нецелесообразен, поскольку не может гарантировать его хоть сколько-нибудь нормальной работы.

Классификация компьютерных вирусов

WannaCry – самый известный компьютерный вирус
киберпреступники

Основные виды и типы компьютерных вирусов

Основные виды, типы и признаки компьютерных вирусов

  1. Заражение загрузочного сектора – алгоритм вируса устанавливает управление над процессом запуска ПК и загрузки операционной системы. Причиной появления такой проблемы становится подключение зараженного флэш-накопителя.
  2. Вредоносные web-страницы – этот вид компьютерного вируса активируется в момент, когда пользователь открывает определенный сайт.
  3. Заражение браузера – воздействие осуществляется на его конкретные функции, поэтому открывается большое количество вкладок с неизвестными сайтами, на которые пользователь не планировал переходить.
  4. Резидентный – это термин общего значения, который можно применить практически к каждому вирусу который располагается в оперативной памяти ПК. Активация происходит в момент запуска операционный системы.
  5. Вирус прямого действия – первые признаки заражения компьютера появляются, когда пользователь запускает вредоносный файл. Техника будет продолжать корректно работать до момента использования зараженного элемента.
  6. Полиморфный вид компьютерного вируса – изменение кода происходит при каждом запуске зараженного файла, поэтому защитный софт его не определяет.
  7. Файловый – еще один распространенный вид вирусов. Такие коды находятся внутри исполняемых файлов, активация которых позволяет выполнять конкретные функции или операции в системе.
  8. Многосторонний – заражение и последующее распространение вируса может происходить несколькими способами. Под угрозу попадают не только программные файлы, но и секторы операционной системы.
  9. Макровирус – они написаны на том же языке, что и обычные программные приложения. Распространение также происходит при активации вредоносного файла. Довольно часто он является вложением в электронном письме.
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Зов электронных книг
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: