Заметки о решаемых задачах АйТишников

Сделал - запиши. Нашёл - сохрани :)

Вымогатель-блокиратор заблокировал компьютер и повредил таблицу размещения файлов

Вымогатель-блокиратор заблокировал компьютер и повредил таблицу размещения файлов

 

Сегодня ко мне попал системник с интересной заразой.

Зараза прописалась в загрузчик, завалила таблицу размещения файлов (NTFS) и пугала пользователя страшными белыми буквами на черном фоне.
Текст следующего содержания: «Зачем шастал по садо-мазо-зоо-педо?
За это перечисли дегней на мегафоновский номер. А не перечислишь, мы инициируем формат всего, что есть у тебя и сообщим куда надо, о том какой ты плохой!»

Отвлекусь от темы, не могу удержаться…
Каким чертом на чеке, выдаваемым автоматом по приему платежей на сотовые, появится код разблокировки? Может мне кто нибудь ответит?
А то я уже устал объяснять пациентам, что это развод и кидалово. Ну ни как, все видящее око вымогателей не пропишет код разблокировки на чеке для страждущих и вопиющих.

Ну даладно...

Загрузился я с WinXPE и что вижу — раздел с Windows как корова слизала.
Я почувствовал гордость за наших ломателей-вымогателей. Они уже не поперед эксплорера лезут, они уже в бутах пишутся :).

Для чего пишу всё это?
Для себя, как памятку, по использованным средствам. И для тебя, чтобы не приумножать боязнь и трепет перед этими варварами от АйТи-индустрии.

Так вот, грузимся с использованием WinXPE (Bart или сборки на его основе: SonyaPE — рекомендую) и смотрим в устройствах наш винчестер, павший смертью храбрых. Если так и есть, то винт или раздел стал неразмеченной областью, значит беремся за его восстановление.

Восстановит нам таблицу размещения файлов и загрузочную область маленькая программка — TestDisk

Качаем нужную версию, исходя из версии операционной системы, под которой потом её будем запускать.

Распаковываем и кидаем на флешку. Флешку подключаем к реанимируемуму компьютеру и запускаем файл testdisk_win.exe.

Появилось окошко сеанса MS-DOS, в нем навигацию совершаем стрелками, и смотрим на пояснения для горячих клавиш.

Выбираем пункт [Create] и жмем Enter.

Стрелками выбираем нужный нам HDD (в моём случае SeaGate ST380817AS 80Gb, первая строка) и жмем Enter, тем самым инициируя действие по кнопке [Proceed]

В следующем окне видим список предлагаемых таблиц разделов. Для Windows-систем выбираем первый пункт [Intel].

Далее жмем [Analyse]

Далее [Quick Search].
Не смотрите на то, что у меня есть запись в строке «Current partition structure», т.к. я это делаю на своей рабочей машине.

На вопрос о том какая винда создавала разделы, отвечаем «Yes», т.к. этот ответ означает, что мы не знаем кто был в доме хозяином :).

Далее видим найденную таблицу, у меня она NTFS.

Жмем Enter. В следующем окне я вам советую нажать на [Deeper Search], для более тщательного анализа найденной таблицы.

После того, как закончится скан, появится окно где будет строка с найденной таблицей. Выбираем её и жмем [Write]. Мы запишем таблицу на винчестер.

Потом нас попросят перезагрузиться. Перезагружаемся опять в WinXPE, т.к. ещё надо перезаписать MBR (ту гадость мы еще не победили :)), это так же сделаем при помощи TestDisk.

Запускаем TestDisk, выбираем винчестер, потом выбираем пункт [MBR Code], для перезаписи загрузочного сектора.

На вопрос о том, «записать новую загрузочную запись в первый сектор?», отвечаем «Yes».

Выходим из программы, перезагружаем компьютер и облегченно видим загрузку и запуск нашей винды.

Всё, победили!

P.S. Если есть желание поглубже разобраться в устройстве и архитектуре записей, партиций, таблиц размещений, то почитайте статью Криса Касперски, Восстановление данных на NTFS-разделах.
Умнейший, скажу я вам, человек.

P.S.S. И ещё. Есть хороший диск, от Лаборатории Касперского (не путать с Крисом Каперски), «Kaspersky Rescue Disk».
Это линуксовая сборка. Грузитесь с этого диска и в развернувшейся операционке работаете с повреждённой виндой.
Банеры снимает очень хорошо :).
Желательно качнуть свежую версию: http://support.kaspersky.ru/viruses/rescuedisk
Прямая ссылка, на сегодняшний день, такая: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

 

17 декабря 2011, 18:25    Александр Windows 0    276 0

 



Комментарии (0)

    Вы должны авторизоваться, чтобы оставлять комментарии.