На сайте киберполиции Украины появилась инструкция для тех, кому нужно восстановить систему после заражения вирусом Petya.
Как известно, Petya шифрует данные. Если это уже произошло, то в настоящее время пока не установлено способа, который гарантированно проводит расшифровку. Если компьютер заражен, но при этом процесс шифрования таблицы MFT еще не начался (или не завершился в результате отключения питания), то есть шанс восстановить информацию, которая находится в компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR, машина запустится и сможет работать.
Далее приведены рекомендации, о возобновлении доступа к пораженной вирусом системы (при условии неполного шифрования):
-загрузиться с установочного диска Windows;
-после загрузки, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их можно приступить к процессу восстановления MBR;
-провести процедуры восстановления MBR (пример ниже для Windows 7)
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Нажмите кнопку Далее.
Выберите операционную систему и нажмите кнопку Далее. При выборе операционной системы следует проверить “Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows“.
На экране “Параметры восстановления системы“ нажмите кнопку “Командная строка“ на экране “Параметры восстановления системы Windows 7“
Когда командную строку успешно загружается, введите команду:
bootrec / fixmbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу Enter и перезагрузите компьютер.
- после процедуры восстановления MBR, нужно проверить диск антивирусными программами на наличие файлов с трояном.
Указанные действия также актуальны, если процесс шифрования начался, но не закончился и пользователь отключил от питания на начальных процессах шифрования. В данном случае, после загрузки ОС, надо воспользоваться ПО по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.
В дополнение: если Вы используете программы восстановления данных, которая записывает свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
Следует заметить, что на кроме регистрационных данных, которые указывались пользователями программы M.E.doc, никакой информации не передавалось.
Напомним, 27 июня Украину атаковал вирус-вымогатель. Пострадали ряд государственных и частных компаний, в том числе Укрэнерго, Новая почта, ГП Антонов, ДТЭК, Укртелеком, Эпицентр, Укрзализныця и другие.
СБУ заявила, что к атаке причастны спецслужбы РФ.
Секретарь СНБО Александр Турчинов отметил очень низкий уровень специалистов по кибербезопасности, работающих в госучреждениях. Он также подтвердил, что вирус распространялся через бухгалтерскую программу.