Наслідки та відновлення системи після вірусу Petya

наслідки

Наслідки після вірусу Petya

Вже минув тиждень після того, як в Україні обсушився Petya. Загалом від цього вірусу-шифрувальника постраждали понад півсотні таборів у всьому світі, але 75 % масової кібератаки обрушилося на Україну. Постраждали державні та фінансові установи по всій країні, одними з перших хто повідомив, що їхні системи зазнали хакерської атаки стали Укренерго та Київенерго. Для проникнення та блокування вірус Petya.A використав бухгалтерську програму M.E.Doc. Це програмне забезпечення дуже популярне в різних установах в Україні, що і стало фатальним. У результаті, у деяких компаній відновлення системи після вірусу Petya зайняло багато часу. Декому вдалося відновити роботу лише вчора, через 6 днів після масової атаки вірусу-шифрувальника.

відновлення

Ціль вірусу Petya

Метою більшості вірусів-шифрувальником є ​​вимагання. Вони шифрують інформацію на ПК жертви та вимагають у неї гроші за отримання ключа, який відновить доступ до зашифрованих даних. Але не завжди шахраї дотримуються слова. Деякі шифрувальники просто не створені для того, щоб бути розшифрованими і вірус «Петя» один з них.

Цю сумну новину повідомили фахівці із «Лабораторії Касперського». Щоб відновити дані після вірусу-шифрувальника, необхідний унікальний ідентифікатор установки вірусу. Але в ситуації з новим вірусом він взагалі не генерує ідентифікатор, тобто творці шкідливого ПЗ навіть не розглядали варіант відновлення ПК після вірусу Petya.

Відновлення ПК після вірусу Petya

Існує три варіанти зараження вірусом Petya

- вся інформація на ПК повністю зашифрована, на екрані висвічується вікно з вимаганням грошей; - дані ПК частковозашифровані. Процес шифрування було перервано зовнішніми факторами (вкл. харчування); — ПК заражений, але процес шифрування таблиць MFT розпочато.

У першому випадку все погано — система відновлення не підлягає. Принаймні на даний момент. У двох останніх варіантах, ситуація можна виправити. Щоб відновити дані, які частково були зашифровані, рекомендується завантажити інсталяційний диск Windows:

відновлення

Якщо жорсткий диск не був пошкоджений вірусом-шифрувальником, завантажувальна ОС побачить файли почне відновлення MBR:

системи

Для кожної версії Windows цей процес має нюанси.

Windows XP

Після завантаження інсталяційного диска, на екран виводиться вікно "Налаштування Windows XP Professional", там потрібно вибрати "щоб відновить Windows XP за допомогою консолі відновлення натисніть R". Після натискання R і почне завантажуватися консоль відновлення.

наслідки

Якщо на пристрої встановлена ​​одна операційна система і вона знаходиться на диску С, з'явиться повідомлення: «1: C: \ WINDOWS яку копію Windows слід використовувати для входу?» Відповідно, необхідно натиснути клавішу «1» і «Enter». Після чого з'явиться: "Введіть пароль адміністратора". Введіть пароль і натисніть «Enter» (якщо немає пароля натисніть «Enter»). Має з'явитися запрошення до системи: C: \ WINDOWS> , введіть fixmbr.

відновлення

Після чого з'явиться «ПОПЕРЕДЖЕННЯ». Для підтвердження нового запису MBR потрібно натиснути «y». Потім з'явиться повідомлення «Проводиться новий основний завантажувальний запис на фізичний диск Device Harddisk0 Partition0.» І: «Новий основний завантажувальний запис успішно зроблено».

Windows Vista:

відновлення

Тут ситуація простіша. Завантажте ОС, оберіть мову таклавіатури. Потім на екрані з'явиться "Відновити працездатність комп'ютера" З'явиться меню, в якому потрібно вибрати "Далі". З'явиться вікно з параметрами відновленої системи, де потрібно натиснути на командний рядок, в якому потрібно ввести bootrec/FixMbr. Після цього треба дочекатися завершення процесу, якщо все пройшло успішно, з'явиться повідомлення про підтвердження - натисніть "Enter", і комп'ютер почне перезавантажуватися. Всі.

відновлення

Процес відновлення схожий на Vista. Вибравши мову та розкладку клавіатури, виберіть ОС, після чого натисніть «Далі». У новому вікні виберіть пункт «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows». Всі інші дії аналогічні Vista.

Windows 8 та 10:

системи

Завантажте ОС, на вікні яке з'явиться оберіть пункт Відновити комп'ютер і усунення несправностей, де натиснувши командний рядок, введіть bootrec /FixMbr. Після завершення процесу натисніть «Enter» та перезавантажте пристрій.

Після того як процес відновлення MBR завершився успішно (незалежно від версії Windows) необхідно просканувати диск антивірусом. У разі коли процес шифрування був початий вірусом, можна використовувати програмне забезпечення для відновлення файлів, наприклад, таке як Rstudio. Після скопіювання їх на знімний носій, необхідно перевстановити систему. У разі коли Ви використовуєте програми відновлення даних записані на завантажувальний сектор, наприклад Acronis True Image, то можете бути впевнені «Петя» не торкнувся цього сектора. А це означає, що можете повернути систему в робочий стан без переустановки.