Bootkit (по-русски, "буткит") - это вредоносная программа, заражающая главную загрузочную запись (MBR - Master Boot
Record) на дисковых устройствах. Этот метод заражения позволяет вредоносной программе начать исполнение до загрузки операционной системы. Код буткита в MBR начинает исполняться после того, как BIOS (Basic Input Output System) выберет зараженное дисковое устройство для загрузки (это может быть как жесткий диск, так и флешка).
В этой теме я расскажу о необычном WinLocke, точнее даже BootKit-е, которого я пока не встречал за последние три года.
Вообще думал что блокираторы сходят на нет, поскольку звонков с заблокированным компьютером стало поменьше. Но как говорится --
редко, но метко.
Итак, позвонил человек, пришел по вызову. Компьютер заблокирован (интересная кстати надпись -- "Ваш компьютер заблокирован Internet Police за поиск и просмотр"). Причем никаких смс отправлять не просят --
просто тупо заблокирован, без права переписки =) .
Опытный глаз сразу увидит, что вирус прописался в загрузочном секторе, т.е. стартует до загрузки операционной системы.
Немного
отступлю от темы и скажу, что данный вирус называется "Буткит", селится он в загрузочном секторе жесткого диска и стандартными
средствами операционной системы его практически невозможно удалить, только грузится с LiveCD. Ну и конечно, если не переписать загрузочный сектор, то простая переустановка системы не поможет,
вирус снова загрузит свой модуль из заветного "хранилища". (спасет еще конечно и полная разбивка диска с удаление всех данных).
Загружаюсь сначала в консоль восстановления, восстанавливаю загрузочную запись (Fixmbr). После перезагруки надпись изчезла..
но система не загрузилась. Загружаюсь с LiveCD и вижу что
вместо трех разделов жесткий диск состоит всего из одного (RAW). Пробовал восстановить разделы с помощью Acronis Recovery
Expert и еще какими то, уже точно не помню -- безрезультатно. По своему скромному разумению понял, что удалена была MFT -
информация файловой системы. В конце-концов начал лопатить интернет и нашел пару похожих примеров восстановления удаленных
разделов.
Итак, полезные утилиты для восстановления, если у кого-то случилась подобная беда.
1. MeetSoft Partition Recovery -- именно эта утилита помогла
восстановить оба раздела, третий к сожалению не восстановился ни одной программой, возможно из-за того что был отформатирован в
FAT32.
2. TestDisk -- увидел все разделы (как и программа выше), но восстановить
смог только один несистемный раздел с данными.
3.Partition Table Doctor -- помог восстановить системный раздел. В настоящее время эта версия уже не поддерживается
разработчиками -- ОФСАЙТ, но вышла
бесплатная новая.
Последние две программы восстанавливали только один из разделов, тоесть после перезагрузки виден был либо системный раздел, который
даже загрузился, либо раздел с данными. И только MeetSoft Partition Recovery восстановила оба раздела, сделала видимыми оба.
Третий раздел не восстанавливался вообще ничем. Пробовал другие утилиты для восстановления файлов Active Partition Recovery
и другие. Программы могли увидеть только список файлов, некоторые можно было даже восстановить, но в основном раздел был
потерян.
Все эти утилиты есть на загрузочном LiveCD -- "AlkidLiveCD".
Пару ссылок по теме, которые сохранил: http://man-linux.ru/notes/solve/testdisk,
http://www.oszone.net/1710/
Кто желает, более подробно от "Буткитах" может почитать на сайте Евгения Касперсокого
Скачать утилиту по удалению "буткитов" можно с сервера сайта или с офсайта Касперского
Если кто что-либо подобное встречал -- прошу Вас отписаться ниже. Спасибо за внимание.
Скачать EaseUS Partition Recovery (раньше было название Partition Table Doctor)
Скачать MeetSoft Partition Recovery (файл не заархивирован в формате *exe)
Скачать TestDisk
Скачать TDSSKiller(утилита Касперского для удаления буткитов)
|