前段時(shí)間的wannacry平息之后不久，突然就爆發(fā)了Petya病毒及其變種病毒，同樣的類型的變種病毒以及同樣是勒索比特幣的問題。所以這個(gè)小編當(dāng)然也比較關(guān)注這個(gè)消息了。同樣的，我也想了解一下這個(gè)病毒是怎么運(yùn)作的。同時(shí)給大家講解一下Petya病毒以及其變種的運(yùn)作原理和損失挽救方案，下面小編給大家?guī)砭W(wǎng)友分享的Petya病毒以及其變種的運(yùn)作原理和損失挽救方案。

Petya病毒以及其變種運(yùn)作原理分析：
我拿到了Petya樣本（恕不提供下載）之后，重新調(diào)用回了之前用于測試的虛擬機(jī)，將病毒樣本丟進(jìn)去準(zhǔn)備測試。



雙擊之后，它會(huì)自動(dòng)往硬盤寫入一些東西，閃過一行英文之后就立即重啟電腦了。（閃的速度太快了我沒看清楚是什么內(nèi)容）
這個(gè)時(shí)候重啟進(jìn)PE，可以看到數(shù)據(jù)還在這里。



但是如果通過外界的啟動(dòng)菜單來從硬盤啟動(dòng)，又可以正常啟動(dòng)回Windows。





從這些特性說明，Petya是典型的MBR引導(dǎo)區(qū)病毒，觸發(fā)的時(shí)候首先惡意寫入了MBR，但不破壞PBR。
因此：
只要你使用的是UEFI啟動(dòng)方式且為GPT分區(qū)表，該病毒對你的電腦就徹底失去作用，不會(huì)有任何影響。
但如果你用的是Legacy啟動(dòng)方式（也就是MBR），你可以使用任何可能的防護(hù)軟件抵御MBR寫入動(dòng)作。

那么如果撤去外界啟動(dòng)菜單直接從硬盤的MBR啟動(dòng)會(huì)發(fā)生什么呢？



運(yùn)行一個(gè)假的chkdsk程序，實(shí)際上這個(gè)操作是破壞扇區(qū)。
不過，此操作并非全盤加密，因?yàn)槿P加密真正操作起來相當(dāng)費(fèi)時(shí)。如果你用過BitLocker全盤加密的話，應(yīng)該知道加密/解密過程需要花多長時(shí)間。
在我寫這篇文章之前事先測試了一次，并在真正開始破壞之前我復(fù)制了整個(gè)硬盤的前1000000個(gè)扇區(qū)的數(shù)據(jù)（大概490MB）用于對比。
這個(gè)過程跑完之后，就是閃瞎眼的骷髏標(biāo)志……



按下任意鍵之后，就進(jìn)入了勒索提示。



我使用的這種Petya樣本是將信息填寫到這個(gè)onion網(wǎng)站上的，不過本質(zhì)其實(shí)是一樣的。
在這個(gè)時(shí)候，你進(jìn)入PE訪問整個(gè)硬盤，你會(huì)發(fā)現(xiàn)磁盤全部變成RAW無法訪問。



這個(gè)時(shí)候?qū)⒈黄茐牡挠脖P的前1000000個(gè)扇區(qū)提取出來，和之前備份的進(jìn)行對比。我們使用的是UltraCompare這個(gè)工具。



我們這里可以看到，發(fā)生變化的主要是一直到0x00006350區(qū)段的所有內(nèi)容，換算一下大概是28扇區(qū)，14KB的數(shù)據(jù)量。



而上面顯示，發(fā)生變化的內(nèi)容有10965266字節(jié)，也大概是10MB的數(shù)據(jù)量，實(shí)際上遠(yuǎn)沒有這么多。

對Petya病毒的總結(jié)：
1、它是一種MBR引導(dǎo)區(qū)病毒；
2、類似當(dāng)年的CIH，為了加快破壞文件速度，它不使用全盤加密而是直接破壞的分區(qū)表；
3、但是，它破壞分區(qū)表并不是簡單地刪除分區(qū)表，而是破壞了每個(gè)分區(qū)的文件系統(tǒng)，導(dǎo)致系統(tǒng)無法再正確讀取這些磁盤的數(shù)據(jù)，因此也無法靠修復(fù)分區(qū)表來解決此問題。

損失挽救方案：
因此，想救回這些文件，你可以使用任何主流的支持從RAW分區(qū)恢復(fù)數(shù)據(jù)的數(shù)據(jù)恢復(fù)軟件來很方便地救回這些數(shù)據(jù)，比如說易數(shù)科技的DiskGenius、X-Ways的WinHex。
你可以選擇在PE下使用這類數(shù)據(jù)恢復(fù)軟件，也可以選擇將硬盤外接到別的電腦上來使用。
另外特別說明，這種情況出現(xiàn)之后，不要使用chkdsk磁盤掃描工具來修復(fù)磁盤，否則它會(huì)刪除這些你還可能救得回來的文件。



我這里使用的是專業(yè)版，為了支持開發(fā)商對數(shù)據(jù)恢復(fù)做出的努力，強(qiáng)烈建議購買正版。購買這類數(shù)據(jù)恢復(fù)軟件付出的代價(jià)也比向黑客支付300美元的贖金低得多，帶來的好處就比冒著可能無法恢復(fù)數(shù)據(jù)的風(fēng)險(xiǎn)支付贖金大得多。
當(dāng)然，如果你的被破壞的分區(qū)是使用像BitLocker這樣的加密程序加密過的，那么數(shù)據(jù)拯救回來的可能性就比較低了。

恢復(fù)數(shù)據(jù)之后，這些文件的文件名可能已經(jīng)丟失了，但是文件的狀態(tài)非常棒，數(shù)據(jù)也還完好，你可以把它們恢復(fù)到你的外接的存儲設(shè)備上，重新整理一下文件名和位置，再來重新安裝操作系統(tǒng)。
不過重新安裝系統(tǒng)的時(shí)候，如果條件允許，請一定要使用UEFI+GPT這種組合的安裝模式且關(guān)閉CSM來抵御引導(dǎo)區(qū)病毒的襲擊，而且需要安裝至少Windows 8。
如果電腦不能支持UEFI啟動(dòng)模式，那么重裝系統(tǒng)完成之后，請一定要及時(shí)關(guān)閉可能的端口，安裝好系統(tǒng)更新并做好引導(dǎo)區(qū)防護(hù)工作，避免類似病毒的威脅。



數(shù)據(jù)無價(jià)，這是小編得出的結(jié)論，不管如何，重要數(shù)據(jù)文件備份到網(wǎng)盤或者移動(dòng)硬盤才能更加安心。Petya病毒是一方面可以影響電腦數(shù)據(jù)的東西，還有人為損壞硬盤，硬盤的自然損壞，以及自己的錯(cuò)誤操作都會(huì)導(dǎo)致數(shù)據(jù)丟失。所以請備份好自己的數(shù)據(jù)。