Як відновити комп’ютер після ураження вірусом Petya.A

Кіберполіція навела рекомендації для відновлення частково зашифрованих даних, що постраждали від кібератаки Petya.A

Про це повідомляє прес-центр Кіберполіції України.

Зазначається, що під час дослідження вірусу спеціалісти відомства встановили, що існує три варіанти його втручання.

1. Комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
2. Комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.
3. Комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

У Кіберполіції досі не мають надійного варіанта для розшифрування данних при першому вказаному розвитку подій, однак експерти навели низку рекомедацій для другої та третьої ситуації. Зокрема, у двох останніх ситуаціях таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, комп’ютер запускається і може працювати.

У такому випадку необхідно спочатку завантажитись з інсталяційного диску Windows Вашого ПК. Після цього, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх та можна приступити до процесу відновлення MBR.

Тож, щоб провести процедури відновлення MBR, потрібно:

Для Windows XР:

Після завантаження інсталяційного диску Windows XP в оперативну пам’ять ПК, з’явиться діалогове вікно “Установка Windows XP Professional”, що містить меню вибору.

Виберіть пункт “щоб відновити Windows XP за допомогою консолі відновлення, натисніть R”.

Натисніть клавішу “R”.

 

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури.

На екрані привітання натисніть «Відновити працездатність комп’ютера».

Windows Vista відредагує комп’ютерне меню.

Виберіть операційну систему та натисніть кнопку “Далі”.

Коли з’явиться вікно «Параметри відновлення системи», натисніть на командний рядок.

Коли з’явиться командний рядок, введіть цю команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться.

Якщо все було успішно, на екрані з’явиться повідомлення про підтвердження.

Натисніть клавішу «Enter» і перезавантажте комп’ютер.

 

Для Windows 7:

Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку «Далі».

Виберіть операційну систему та натисніть кнопку «Далі». Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7"

Коли командний рядок успішно завантажується, введіть команду:

bootrec /fixmbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу «Enter» і перезавантажте комп'ютер.

 

Для Windows 8

Завантажте Windows 8.

На екрані "Вітання" натисніть кнопку "Відновити комп'ютер"

Windows 8 відновить комп'ютерне меню

Виберіть "Усунення несправностей"

Виберіть командний рядок.

Коли завантажується командний рядок, введіть такі команди:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу «Enter» і перезавантажте комп'ютер.

 

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку «Відновити комп'ютер»

Виберіть "Усунення несправностей"

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу «Enter» і перезавантажте комп'ютер

- після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.

 

Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

 

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "M.E.doc", ніякої інформації не передавалось.