Українська кіберполіція дала поради користувачам, комп’ютери яких зазнали атаки вірусу Petya.A, як відновити доступ до операційної системи.
У повідомленні, яке розповсюдив департамент кіберполіції НПУ 2 липня, зазначено: шанс відновити інформацію у комп’ютері є у двох випадках.
“У процесі дослідження вірусу “Petya” та його шкідливу дію на комп’ютери виявлено декілька варіантів його втручання. Перший – комп’ютери заражені і зашифровані (система повністю скомпрометована), відновлення вмісту вимагає знання закритого ключа. Другий – комп’ютери заражені, частково зашифровані, Система розпочала процес шифрування, але зовнішні фактори припинили процес шифрування. Третій – комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався”, – зазначили у поліції.
Відновити інформацію є шанс у двох останніх випадках.
“Що стосується першого сценарію – наразі не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній”, – сказано в повідомленні.
У кіберполіції навели рекомендації для поновлення доступу до враженої вірусом операційної системи за умов, якщо процес шифрування було запущено, але зовнішні фактори (наприклад вимкнення живлення і т.і.) припинили процес шифрування; або якщо процес шифрування таблиці MFT ще не розпочався через фактори, які не залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо).
Рекомендуємо провести наступні дії для перевірки та відновлення зашифрованої інформації:
–завантажитись з інсталяційного диску Windows Вашого ПК;
–після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;
-провести процедури відновлення MBR:
Для Windows XР:
Після завантаження інсталяційного диску Windows XP в оперативну пам’ять ПК, з’явиться діалогове вікно «Установка Windows XP Professional», що містить меню вибору, необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». [R = Відновити].
Натисніть клавішу «R».
Завантажиться консоль відновлення.
Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з’явиться наступне повідомлення:
«1: C: \ WINDOWS У яку копію Windows слід виконати вхід?»
Введіть клавішу «1», натисніть клавішу «Enter».
З’явиться повідомлення: «Введіть пароль адміністратора». Введіть пароль, натисніть клавішу «Enter» (якщо пароля немає, просто натисніть «Enter»).
Повинно з’явитись запрошення системи: C: \ WINDOWS> , введіть fixmbr
З’явиться повідомлення: «ПОПЕРЕДЖЕННЯ».
«Чи підтверджуєте запис нової MBR?», натисніть клавішу «y».
З’явиться повідомлення: «Проводиться новий основний завантажувальний запис на фізичний диск \ Device \ Harddisk0 \ Partition0.»
«Новий основний завантажувальний запис успішно зроблений».
Для Windows Vista:
Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть «Відновити працездатність комп’ютера». Windows Vista відредагує комп’ютерне меню.
Виберіть операційну систему та натисніть кнопку «Далі».
Коли з’явиться вікно «Параметри відновлення системи», натисніть на командний рядок.
Коли з’явиться командний рядок, введіть цю команду:
bootrec /FixMbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з’явиться повідомлення про підтвердження.
Натисніть клавішу «Enter» і перезавантажте комп’ютер.
Для Windows 7
Завантажте Windows 7.
Виберіть мову.
Виберіть розкладку клавіатури.
Натисніть кнопку «Далі».
Виберіть операційну систему та натисніть кнопку «Далі». Під час вибору операційної системи слід перевірити “Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows”.
На екрані “Параметри відновлення системи” натисніть кнопку “Командний рядок” на екрані “Параметри відновлення системи Windows 7”
Коли командний рядок успішно завантажується, введіть команду:
bootrec /fixmbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з’явиться повідомлення про підтвердження.
Натисніть клавішу «Enter» і перезавантажте комп’ютер.
Для Windows 8
Завантажте Windows 8.
На екрані “Вітання” натисніть кнопку “Відновити комп’ютер”
Windows 8 відновить комп’ютерне меню
Виберіть “Усунення несправностей”
Виберіть командний рядок.
Коли завантажується командний рядок, введіть такі команди:
bootrec /FixMbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з’явиться повідомлення про підтвердження.
Натисніть клавішу «Enter» і перезавантажте комп’ютер.
Для Windows 10
Завантажте Windows 10.
На екрані привітання натисніть кнопку «Відновити комп’ютер»
Виберіть “Усунення несправностей”
Виберіть командний рядок.
Коли завантажується командний рядок, введіть команду:
bootrec /FixMbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з’явиться повідомлення про підтвердження.
Натисніть клавішу «Enter» і перезавантажте комп’ютер
– після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.
Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.
На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.
Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми “M.E.doc”, ніякої інформації не передавалось.
Читайте також:
В СБУ пояснили, чому вірус Petya.A прийшов із Росії
Як повідомляла “Новинарня“, кібератака відбулась 27 червня 2017 року на державні установи, зокрема Кабмін, об’єкти, фінансового, енергетичного транспортного сектору, а також приватні підприємства за допомогою шкідливого програмного продукту Petya.A, який блокує роботу комп’ютерних систем. Вірус-блокувальник шифрує дані на комп’ютері та вимагає викуп.
Нацполіція повідомила, що отримала понад тисячу повідомлень про зараження вірусом Petya.A і створює дескриптор.
За даними СБУ, до атаки вірусу причетні спецслужби Росії.
Читайте також:
Турчинов анонсував рішення РНБО щодо вірусу Petya і повідомив про його витоки
〉〉 Вподобали статтю? Найкращий лайк - переказ 50, 100, 200 грн. для гонорарів авторам "Новинарні". Наші рахунки – тут.
〉〉 Кожен читач "Новинарні" має змогу налаштувати щомісячний переказ на довільну суму через сервіс Patreon - на підтримку редакції.
Ми виправдовуємо довіру!