Как расшифровать данные на диске после вируса Petya. Как восстановить данные после атаки вируса Petya (когда это возможно)
Компания «Роснефть» подверглась мощной хакерской атаке, о чем сообщила в своем твиттере.
«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», - говорится в сообщении. Сайт «Роснефти» на момент публикации заметки был недоступен.
Нефтяная компания сообщила, что обратилась в правоохранительные органы в связи с инцидентом. Из-за оперативных действий службы безопасности работа «Роснефти» не нарушилась и продолжается в штатном режиме.
«Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены», - сообщили представители компании корреспонденту «Газеты.Ru».
Они предупредили, что все, кто будут распространять недостоверные данные, «будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.»
Кроме того, были заражены компьютеры компании «Башнефть», сообщили «Ведомости» . Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300.
К сожалению, это не единственные пострадавшие от масштабной хакерской атаки - Telegram-канал «Сайберсекьюрити и Ко.» сообщает о кибервзломе Mondelez International (бренды Alpen Gold и Milka), Ощадбанка, Mars, Новой Почты, Nivea, TESA и других компаний.
Автор канала Александр Литреев заявил, что вирус носит название Petya.A и что он действительно похож на WannaCry, поразивший более 300 тыс. компьютеров по всему миру в мае этого года. Petya.A поражает жесткий диск и шифрует главную таблицу файлов (MFT). По данным Литреева, вирус распространялся в фишинговых письмах с зараженными вложениями.
В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.
«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением.EXE», - рассказывает эксперт.
После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.
Специалисты компании Group-IB рассказали «Газете.Ru», что недавно шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
Снова русские хакеры
Наиболее сильно от вируса Petya.A пострадала Украина. Среди пострадавших - Запорожьеоблэнерго, Днепроэнерго, Киевский метрополитен, украинские мобильные операторы Киевстар, LifeCell и УкрТелеКом, магазин «Ашан», ПриватБанк, аэропорт Борисполь и другие организации и структуры.
Всего в общей сложности были атакованы свыше 80 компаний в России и на Украине.
Депутат украинской Рады от «Народного фронта», член коллегии МВД Антон Геращенко заявил, что в кибератаке виноваты российские спецслужбы.
«По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком». Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», - сообщил Геращенко.
Атака вирусом-вымогателем WannaCry случилась в середине мая 2017 года и парализовала работу нескольких международных компаний по всему миру. Ущерб, нанесенный мировому сообществу масштабным вирусом WannaCry, оценили в $1 млрд.
Зловред использовал уязвимость в операционной системе Windows, блокировал компьютер и требовал выкуп. Распространение вируса было остановлено случайно одним британским программистом - он зарегистрировал доменное имя, к которому обращалась программа.
Несмотря на то что кибератака WannaCry имела планетарный масштаб, всего было зафиксировано только 302 случая уплаты выкупа, в результате чего хакеры смогли заработать $116 тыс.
Вирус Petya описание. Все, что нам нужно знать о вирусе Petya
Petya вирус - это очередной вымогатель, который блокирует файлы пользователя. Этот вымогатель может быть очень опасным и заразить любой ПК, но его основной целью являются компьютеры немецких компаний. Эта вредоносная программа входит в компьютеры жертвы и скрытно осуществляет свою деятельность, и компьютер может оказаться под угрозой. Petya шифрует файлы алгоритмами RSA-4096 и AES-256, он используется даже в военных целях. Такой код невозможно расшифровать без приватного ключа. Подобно другим вимогателям, как Locky virus, CryptoWall virus, и CryptoLocker, этот приватный ключ хранится на каком-то удаленном сервере, доступ к которому возможен только заплатив выкуп создателем вируса.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер; поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифрование файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером. Мы рекомендуем использовать надежные антивирусные инструменты, как Reimage, чтобы позаботиться о удалении Petya.
Вирус Petya распросранение.
Как распространяется этот вирус и как он может войти в компьютер?
Petya вирус обычно распространяется через спам сообщения электронной почты, которые содержат загрузочные Dropbox ссылки для файла под названием “приложение folder-gepackt.exe” прикрепленные к ним. Вирус активируется, когда загружен и открыт определенный файл. Так как вы уже знаете, как распространяется этот вирус, вы должны иметь идеи, как защитить свой компьютер от вирусной атаки. Конечно, вы должны быть осторожны, с открытием электронных файлов, которые отправлены подозрительными пользователями и неизвестными источниками, представляющие информацию, которая не относиться к той, которую вы ожидаете. Вы также должны избегать письма, относящиеся к “спам” категории, так как большинство поставщиков услуг электронной почты автоматически фильтруют письма, и помещают их в соответственные каталоги. Тем не менее, вы не должны доверять этим фильтрам, потому что, потенциальные угрозы могут проскользнуть через них. Также, убедитесь, что ваша система обеспечена надежным антивирусным средством. Наконец, всегда рекомендуется держать резервные копии на каком-то внешнем диске, в случае возникновения опасных ситуаций.
Вирус Petya удаление.
Как я могу удалить вирус Petya с моего ПК?
Как ми уже упоминали, удаление вируса Petya имеет важное значение для безопасности ваших будущих файлов. Также, восстановления данных с внешних накопителей, может выполняться только тогда, когда вирус и все его компоненты полностью удалены с ПК. В противном случае, Petya может проникнуть и заразить ваши файлы на внешних накопителях.
Вы не можете удалить Petya с вашего компьютера с помощью простой процедуры удаления, потому что это не сработает с этой вредоносной программой. Это означает, что вы должны удалить этот вирус автоматически. Автоматическое удаление вируса Petya должно осуществляться с помощью надежного антивирусного средства, которое обнаружит и удалит этот вирус с вашего компьютера. Тем не менее, если вы столкнулись с некоторыми проблемами удаления, например, этот вирус может блокировать вашу антивирусную программу, вы всегда можете проверить инструкцию удаления, приведенную в конце статьи.
Руководство по ручному удалению вируса Petya:
- Метод 1. Удалите Petya, используя Safe Mode with Networking
- Метод 2. Удалите Petya, используя System Restore
- Восстановление Ваших данных после вируса Petya
Удалите Petya , используя Safe Mode with Networking
Если программа-вымогатель блокирует Safe Mode with Networking , попробуйте следующий метод.
Удалите Petya , используя System Restore
Шаг 1: Перезагрузите компьютер для Safe Mode with Command Prompt
Windows 7 / Vista / XP
Windows 10 / Windows 8
Шаг 2: Восстановите Ваши системные файлы и настройки
После того, как вы восстановите систему к предыдущей дате, загрузите и просканируйте ваш компьютер с � убедитесь, что удаление �рошло успешно.
Наконец, Вам всегда следует подумать о защите от крипто-программ-вымогателей. Чтобы защитить компьютер от Petya и других подобных приложений, используйте надежную антишпионскую программу, такую как Reimage, Plumbytes Anti-Malware или Malwarebytes Anti Malware
27.06.2017, для тех кто не делает бэкапы на съемные носители, стал самым черным днём, когда вирус-вайпер Petya за каких-то полчаса своей работы уничтожил у кого-то неделю, а у кого-то 10-12 лет наработок, архива ценных файлов, баз данных и прочего. Заставив начать жизнь с чистого листа. Однако есть шанс спасти хотя бы архивы Outlook и фото. Подробности под катом.
Вирус работал в два этапа: шифровал файлы (причем не все и не полностью), затем инициировал перезагрузку и после перезагрузки шифровал загрузчик (MBR) жесткого диска. В итоге жесткий диск превращался в условную «тыкву», из которой ничего не вытащить.
В случае, если ПК пережил только первый этап, то после восстановления MBR можно полноценно продолжать работать за ПК и наблюдать последствия работы шифровальщика файлов и искать те, что уцелели. Если ПК пережил два этапа, то всё гораздо хуже и даже просто вытащить файлы гораздо сложнее.
Поиск информации в Рунете по способам спасения информации с такого жесткого диска практически нет, поэтому мне пришлось опытным путем подбирать оптимальную стратегию поиска и восстановления того, что могло уцелеть. Были опробованы порядка десятка программ восстановления информации, но больше всего информации удалось вытащить при помощи программы R-Studio, о ней и пойдет речь далее, с описанием последовательности действий для спасения (все действия будут осуществляться под Windows 7, но я думаю неважно какая версия windows у вас лишь бы запустился R-studio).
Скажу сразу - вытащить можно почти все файлы, но они будут зашифрованы, кроме файлов которые не шифровались, как правило фотографии и видео. Восстановить некоторые файлы можно будет при наличии утилит, которые предусмотрели разработчики соответствующего формата файлов. На примере ниже мы рассмотрим процесс спасения файла архива от Outlook.
Итак последовательность действий:
1. Подключаем неотформатированный зашифрованный диск (это ключевое требование, если диск форматировался или на нем была переустановлена ОС, то шансы восстановить хоть что-то стремятся к нулю), который прошел 2 этапа шифрования с потерей файловой системы, к ПК под управлением Windows (подключать можно как напрямую к материнской плате через порты sata/ide так и через USB адаптеры, кому как удобнее). И после загрузки ПК получаем сообщение о необходимости отформатировать вновь подключенный диск (в моем случае это диск G).
Скриншот
Жмем отмену. Убеждаемся, что наш диск действительно поврежден, в диспетчере дисков он определится с файловой системой RAW:
Скриншот
2. Запускаем программу R-Studio (я использовал версию 8.2) и смотрим найденные диски. Наш подопытный жесткий диск объемом 320 Гб был подключен через док-станцию USB 3.0 и определился как JMicron Tech 023 под буквой «G».
Скриншот
Далее делаем двойной клик на строку с диском «G», как на рисунке выше, и ждем окончания сканирования диска.
3. Нам откроется окно R-Studio с результатами сканирования (см. рис. ниже):
Скриншот
Как правило, находится очень мало папок с понятным названием, всё самое ценное находится в разделе «Дополнительно найденные файлы». Поэтому переходим к следующему шагу.
4. Выделяем мышкой строку «Дополнительно найденный файлы» и жмем кнопку «Найти/отметить» на панели управления программы.
5. В открывшемся окне выбираем поиск по расширению файлов и указываем расширение pst (формат файла архивных папок Outlook) и нажимаем кнопку «Да».
Скриншот
6. Поиск нам найдет архивные файлы, их может быть много и в разных папках. Поэтому ориентируемся на путь, по которому у вас хранились архивные файлы. На примере ниже видно, что искомые файлы находились в папке «Файлы Outlook».
Скриншот
Прошу обратить внимание, что если посмотреть на левое меню и подняться вверх по иерархии папок, то видно, что эта папка расположена в папке учетной записи пользователя и там есть папки Desktop, Documents и т.д. Таким образом можно вытащить фото и другие файлы, которые хранились у пользователя в этих папках.
Скриншот
7. Далее ставим галочки на искомых файлах с расширением pst и жмём кнопку «Восстановить помеченные», указываем место для сохранения спасаемых файлов (в моем случае это папка Recover на диске С). Ждем окончания процесса копирования файлов.
Скриншот
8. Восстановленный файл архива как правило поврежден и не определяется программой Outlook. К счастью у больших файлов вирус шифровал только первый мегабайт, оставляя остальное нетронутым. Поэтому нам нужно попытаться восстановить структуру архива, для этого есть несколько способов:
А) Использовать утилиту SCANPST входящую в стандартный комплект MS Office. Например в MS Office 2010 эта утилита находится в папке C:\Program Files (x86)\Microsoft Office\Office14\ если у вас 64 битной Windows и по пути C:\Program Files\Microsoft Office\Office14 при использовании 32-битной версии Windows.
Б) Использовать утилиты сторонних разработчиков. Коих можно найти много на просторах гугла.
Я использовал первый вариант и в принципе он сработал на всех ПК, которые мне принесли на восстановление.
Также прилагаю к посту ссылку на пошаговую инструкцию по работе с утилитой SCANPST.
На этом собственно всё, другие файлы восстанавливаются аналогичным алгоритмом, необходимо только подставить нужное расширение файла, либо вручную пролистать все папки в разделе «Дополнительно найденные файлы» и выбрать что именно необходимо восстановить.
Если кому-то мой пост покажется «капитанским» просьба сильно не критиковать, не у всех есть опыт восстановления данных и проверенные инструменты. Если остались еще вопросы можете писать в ЛС или тут в комментариях.
Исследователи и эксперты в области кибербезопасности сообщают, что вирус, который (больше всего от атаки пострадала Украина, на которую изначально был нацелен этот вирус), создан с намеренной целью полностью выводить из строя машины жертв и не предусматривает системы расшифровки информации. Если вирус Petya.C поразил компьютер, на определенном этапе пользователь еще может перезапустить систему, но вот расшифровать информацию уже не получится.
Представители компаний «Сайберсекьюрити и Ко » и Positive Technologies , а также официальное представительство СБУ Украины рассказали о том, что при первых признаках заражения единственным способом предотвратить шифрование информации будет выключение компьютера.
Когда вредоносный код попадает на устройство жертвы, вирус создает отложенную задачу на перезагрузку девайса. До этого момента можно выполнить команду bootrec /fixMbr для восстановления раздела. За счет этого система сохранит работоспособность, но файлы все равно будут зашифрованы. Это – билет в один конец. Petya.C действует таким образом, что при заражении генерирует специальный ключ дешифровки, который практически сразу же удаляется.
После успешного шифрования информации компьютера на экран выводится сообщение с требованием заплатить 300 долларов в биткоинах, чтобы получить ключ для расшифровки информации. На счет хакеров уже поступило несколько тысяч долларов, но ни одна из жертв не получила нужный код. Дело в том, что германский провайдер электронной почты заблокировал ящик злоумышленников, который был единственным способом связаться с хакерами. Кроме того, представители «Лаборатории Касперского» сообщили, что сами авторы Petya.C не имеют физической возможности расшифровать компьютеры своих жертв, поскольку вирус не предусматривает создание идентификатора компьютеры жертвы, который позволил бы хакерам отправить ключ.
Для шифрования устройств Petya.C использует уязвимость EternalBlue, которая утекла из-под АНБ в начале этого года. Этот же эксплойт использовали создатели вымогателя WannaCry в мае. Microsoft выпустила необходимые патчи еще в марте этого года и даже обновила Windows XP, чтобы предотвратить дальнейшие заражения. Компания предупредила, что подобные атаки с большой долей вероятности будут повторяться, поэтому пользователям необходимо как можно скорее обновить свои компьютеры. Никто не отрицает тот факт, что в будущем может появиться еще какой-нибудь Vasia или Lyosha, который попытается повторить "успех" WannaCry или Petya.C.
Напомним, что Microsoft объявила ряд изменений в системах безопасности Windows 10, которые сделаны для предотвращения повторных атак в будущем. Компания уже (он использовался в атаках WannaCry и Petya.C), а также добавит , усложняющих использование эксплойта для заражения компьютера жертвы.
Заразил компьютер, то ему уже ничего не поможет. Точнее, файлам на жестком диске, которые невозможно восстановить. Но на самом деле и кибератаки можно избежать, и реанимировать компьютер сложно, но можно.
Для начала поговорим о мерах, которые позволят избежать заражения вирусом Петя А . Как мы уже писали, #Petya это подобие WCry - вирус-вымогатель, который шифрует данные и просит $300 выкупа за их восстановление. Сразу отметим – платить НЕ ИМЕЕТ никакого смысла!
Как избежать вируса Петя А
Блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
На уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
На уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
Блокировка SMB и WMI-портов. В первую очередь 135, 445;
После заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! - это действительно важно.
Не открывайте подозрительные письма и особенно вложения в них;
Принудительно обновите базу антивируса и операционные системы.
Как восстановить файлы после вируса-шифровальщика
Следут отметить, что еще в 2016 году пользователю, который зарегистрирован в Twitter под ником Leostone, удалось взломать шифрование вредоносного вируса, о чем писал ресурс Bleepingcomputer.com .
В частности, он сумел создать генетический алгоритм, который может генерировать пароль, необходимый для дешифрования зашифрованного вирусом компьютера Petya.
Генетический алгоритм - это алгоритм поиска, используемый для решения задач оптимизации и моделирования путем случайного подбора, комбинирования и вариации искомых параметров с использованием механизмов, аналогичных естественному отбору в природе.
Свои результаты Leostone выложил на сайте , на которых находится вся необходимая информация для генерации кодов дешифровки. Таким образом, жертва атаки может воспользоваться указанным сайтом для генерации ключа дешифрования.
Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.
Для многих пользователей снять определенную информацию с пострадавших жестких дисков составляет проблему. К счастью, на помощь пришел эксперт компании Emsisoft Фабиан Восар , который создал инструмент Petya Sector Extractor для извлечения необходимой информации с диска.
Petya Sector Extractor
После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Фабиана Восара Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области. Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com /), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data). Затем вернуться к утилите Фабиана Восара, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).
Фото: bleepingcomputer.com
После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.
Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.
Фото: bleepingcomputer.com
После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.
Для тех, кому может быть сложно удалить жесткий диск с одного компьютера и подключить его к другому, можно приобрести док-станцию для жесткого диска USB.
По информации bykvu.com и «БАКОТЕК»
Как восстановить доступ к операционной системе после атаки вируса Petya: рекомендации от Киберполиции Украины
Департамент Киберполиции Национальной полиции Украины опубликовал рекомендации пользователям по восстановлению доступа к компьютерам, которые подверглись кибератаке вируса-шифровальщика Petya.A.
В процессе изучения вируса-шифровальщика Petya.A исследователи установили несколько вариантов воздействия вредоносного ПО (при запуске вируса с правами администратора):
Система полностью скомпрометирована. Для восстановления данных требуется закрытый ключ, а на экране отображается окно с сообщением о требовании уплаты выкупа для получения ключа для расшифровки данных.
Компьютеры заражены, частично зашифрованы. Система начала процесс шифрования, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования.
Компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
Что касается первого варианта — к сожалению, в настоящее время пока не установлено способа, который гарантированно проводит расшифровку данных. Решением этого вопроса активно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, украинских и международных ИТ-компаний.
В тоже время, в двух последних случаях есть шанс восстановить информацию, которая находится на компьютере, так как таблица разметки MFT не нарушена или нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, компьютер запустится и будет работать.
Таким образом модифицированная троянская программа «Petya» работает в несколько этапов:
Первый: получение привилегированных прав (права администратора). На многих компьютерах в Windows архитектуре (Active Directory) эти права отключены. Вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции XOR (xor 0x7), а затем записывает свой загрузчик на место вышеуказанного сектора, остальная часть кода трояна записывается в первые сектора диска. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы.
Почему так? Потому что описанное выше — это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.
Второй: после перезагрузки наступает вторая фаза работы вируса – шифрование данных, он обращается уже к своему конфигурационному сектору, в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать. После этого начинается процесс шифрования, который имеет вид работы программы Check Disk.
Процесс шифрования был запущен, но внешние факторы (напр.: отключение питания и т.д.) прекратили процесс шифрования;
Процесс шифрования таблицы MFT еще не начался из-за факторов, которые не зависели от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и т.д.).
Загрузиться с установочного диска Windows;
Если после загрузки с установочного диска Windows будет видна таблица с разделами жесткого диска, то можно приступить к процессу восстановления MBR;
Для Windows XР:
После загрузки установочного диска Windows XP в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». . Нажмите клавишу «R».
Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»
Введите клавишу «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должен появиться запрос системы: C: \ WINDOWS> введите fixmbr
Затем появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?». Нажмите клавишу «Y».
Появится сообщение: «Создается новый основной загрузочной сектор на физический диск \ Device \ Harddisk0 \ Partition0.»
«Новый основной загрузочный сектор успешно создан».
Для Windows Vista:
Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.
Выберите операционную систему и нажмите кнопку «Далее».
Когда появится окно «Параметры восстановления системы», нажмите на командную строку.
Когда появится командная строка, введите команду:
bootrec / FixMbr
Подождите, пока операция закончится. Если все успешно, на экране появится сообщение о подтверждении.
Для Windows 7:
Загрузите Windows 7.
Выберите язык.
Выберите раскладку клавиатуры.
Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».
На экране «Параметры восстановления системы» нажмите кнопку «Командная строка» на экране «Параметры восстановления системы Windows 7»
Когда командная строка успешно загрузится, введите команду:
bootrec / fixmbr
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 8
Загрузите Windows 8.
На экране «Приветствие» нажмите кнопку «Восстановить компьютер»
Windows 8 восстановит компьютерное меню
Выберите командную строку.
Когда загрузится командная строка, введите следующие команды:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
Для Windows 10
Загрузите Windows 10.
На экране приветствия нажмите кнопку «Восстановить компьютер»
Выберите «Устранение неисправностей»
Выберите командную строку.
Когда загружается командную строку, введите команду:
bootrec / FixMbr
Подождите, пока операция завершится. Если все успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.
После процедуры восстановления MBR, исследователи рекомендуют проверить диск антивирусными программами на наличие зараженных файлов.
Специалисты киберполиции отмечают, что указанные действия также актуальны, если процесс шифрования был начат, но прерван пользователем путем отключения питания компьютера на начальном процессе шифрования. В данном случае, после загрузки ОС, можно воспользоваться программным обеспечением по восстановлению файлов (вроде RStudio), после чего скопировать их на внешний носитель и переустановить систему.
Также отмечается что в случае использования программ восстановления данных, которые записывают свой загрузочный сектор (вроде Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки.
В киберполиции сообщили, что кроме регистрационных данных, которые указывались пользователями программы «M.E.doc», никакой информации не передавалось.
Напомним, 27 июня 2017 года началась масштабная кибератака вируса-шифровальщика Petya.A на IT-системы украинских компаний и госучреждений.
