Инструкцию по восстановление доступа к операционной системе, которая была частично поражена модифицированной троянской программой «Petya» подготовила украинская Киберполиция.
Как восстановить систему после атаки вируса Petya
В процессе исследования вируса и его вредного воздействие на компьютеры пользователей, выявлено несколько вариантов его вмешательства (в случае предоставления вирусу права администратора при его запуске):
- Компьютеры заражены и зашифрованы (система полностью скомпрометирована). Восстановление требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокировки файлов.
- Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования.
- Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Как рассказывают полицейские, что касается первого сценария — в настоящее время пока нет способа, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ГСССЗИ, украинских и международных ИТ компаний.
В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится на компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать.
Ниже приведены рекомендации о возобновлении доступа к пораженной вирусом ОС (при условии, что процесс шифрования был запущен, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования или же процесс шифрования еще не начался из-за факторов, которые не зависели от пользователя (например, сбой в работе вируса, реакция антивирусного ПО и т.д.).
Первые шаги:
— загрузить систему с установочного диска Windows вашего ПК;
— после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно приступить к процессу восстановления MBR;
— провести процедуру восстановления MBR (как это делать смотрите ниже);
Для Windows XР:
После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP», содержащая меню выбора. Потом необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». [R = Восстановить]. Нажмите R.
Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: WINDOWS В какую копию Windows следует выполнить вход?»
Нажмите 1, потом — Enter. Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу Enter (если пароля нет, просто нажмите Enter).
Должно появиться приглашение системы: C:WINDOWS>, введите fixmbr
Появится сообщение: «ПРЕДУПРЕЖДЕНИЕ». «Подтверждаете запись новой MBR?». Нажмите клавишу «y».
Появится сообщение: «Проводится новая основная загрузочная запись на физический диск Device Harddisk0 Partition0». «Новая основная загрузочная запись успешно сделана».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее». Когда появится окно «Параметры восстановления системы», нажмите на командную строку.
Когда появится командная строка, введите эту команду: bootrec/FixMbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 7:
Загрузите Windows 7. Выберите язык. Выберите раскладку клавиатуры. Нажмите кнопку «Далее». Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7».
Когда командная строку успешно загружается, введите команду:
bootrec/fixmbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 8:
Загрузите Windows 8. На экране «Приветствие» нажмите кнопку «Восстановить компьютер». Windows 8 восстановит компьютерное меню. Выберите «Устранение неисправностей»
Выберите командную строку. Когда загружается командная строка, введите следующие команды:
bootrec/FixMbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении. Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 10:
Загрузите Windows 10. На экране приветствия нажмите кнопку «Восстановить компьютер». Выберите «Устранение неисправностей». Выберите командную строку.
Когда загружается командную строку, введите команду:
bootrec / FixMbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
После указанных процедур
После процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.
Указанные действия также актуальны, если процесс шифрования было начато, но не закончено и пользователь отключил ПК от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, надо воспользоваться программным обеспечением по восстановлению файлов (пот типу RStudio), после чего скопировать их на внешний носитель и переустановить систему.
В дополнение: если вы используете программы восстановления данных, которые записывают свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Коментарі - 1