Як відновити доступ до ПК після атаки вірусом Petya: покрокова інструкція

 

Відновлення доступу до операційної системи, яка була частково уражена модифікованою троянською програмою "Petya".

У процесі дослідження вірусу Petya та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора):

Комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
Комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Що стосується першого сценарію (варіанту) – нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Таким чином модифікована троянська програма Petya працює в кілька етапів:

Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Чому так? Тому, що описане вище – це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи, за умов, якщо:

процес шифрування було запущено, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування;

процес шифрування таблиці MFT ще не розпочався через фактори, які не залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо).

Рекомендуємо провести наступні дії для перевірки та відновлення зашифрованої інформації:

– завантажитись з інсталяційного диску Windows Вашого ПК;

– після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

– провести процедури відновлення MBR:

Для Windows XР:

Після завантаження інсталяційного диску Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно "Установка Windows XP Professional", що містить меню вибору, необхідно вибрати пункт "щоб відновити Windows XP за допомогою консолі відновлення, натисніть R". [R = Відновити].

Натисніть клавішу "R".

Завантажиться консоль відновлення.

Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:

"1: C: WINDOWS У яку копію Windows слід виконати вхід?"

Введіть клавішу "1", натисніть клавішу "Enter".

З'явиться повідомлення: "Введіть пароль адміністратора". Введіть пароль, натисніть клавішу "Enter" (якщо пароля немає, просто натисніть "Enter").

Повинно з'явитись запрошення системи: C: WINDOWS> , введіть fixmbr

З'явиться повідомлення: "ПОПЕРЕДЖЕННЯ".

"Чи підтверджуєте запис нової MBR?", натисніть клавішу "y".

З'явиться повідомлення: "Проводиться новий основний завантажувальний запис на фізичний дискDeviceHarddisk0Partition0."

"Новий основний завантажувальний запис успішно зроблений".

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть "Відновити працездатність комп'ютера". Windows Vista відредагує комп'ютерне меню.

Виберіть операційну систему та натисніть кнопку "Далі".

Коли з'явиться вікно "Параметри відновлення системи", натисніть на командний рядок.

Коли з'явиться командний рядок, введіть цю команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 7

Завантажте Windows 7.

Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку "Далі".

Виберіть операційну систему та натисніть кнопку "Далі". Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7".

Коли командний рядок успішно завантажується, введіть команду:

bootrec /fixmbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані "Вітання" натисніть кнопку "Відновити комп'ютер";

Windows 8 відновить комп'ютерне меню;

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть такі команди:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter"і перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку "Відновити комп'ютер";

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

– після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.

Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "MEdoc", ніякої інформації не передавалось.

 

Блог Медіа


03.07.2017 1560 0
Коментарі (0)

13.07.2025
Вікторія Матіїв

Дружина полеглого воїна Любов Галько розповіла журналістці Фіртки, яким був Руслан Галько — у повсякденному житті, в родинному колі та на фронті.

15525
09.07.2025
Тетяна Дармограй

В інтерв’ю професорка кафедри судової медицини Івано-Франківського національного медичного університету Наталія Козань розповіла про процес та методи ідентифікації тіл загиблих військових, виклики, з якими стикаються фахівці та чому ця робота — це насамперед про гідність.  

1529
05.07.2025
Вікторія Косович

Про те, що таке фемінізм, як він розвивався в українському суспільстві та чому його не потрібно боятися, Фіртка поспілкувалася з журналісткою та письменницею, авторкою книги "Слово на літеру "Ф" Іриною Славінською.

1105
30.06.2025
Тетяна Ткаченко

Про актуальність проблеми больового синдрому в периопераційному періоді журналістці Фіртки розповів завідувач кафедри анестезіології та інтенсивної терапії Івано-Франківського національного медичного університету, професор Іван Тітов.  

2132
26.06.2025
Олег Головенський

Фіртка вже проаналізувала декларації нардепів, керівників рад, ОВА та голів громад Прикарпаття за 2024 рік. Сьогодні — фінальна частина: декларації керівників правоохоронних органів області.

3672
24.06.2025
Павло Мінка

19 червня 2025 року Івано-Франківська обласна прокуратура повідомила: судитимуть організатора злочинної групи торговців бурштином.

1388

По соцмережах пішла дискусія про зрізані кілька дерев (ялинок) на Івано-Франківській Площі Ринок. «Політично» мотивований ґвалт наростає. Аж до вимог «засадити» ринкову площу деревами та зробити парк.

1797

Гадаю багато хто був свідком такої ситуації в церкві, коли дитина могла пробігтись у церкві, кудись заглядати, можливо щось голосно запитувати й одразу отримати зауваження або присоромлення від інших, часто старших, людей або бабусь.

570

Ніколи ідіотизм не стає більш очевидним, як у момент, коли починають його зводити у абсолют великі писарі сентиментально-переконливих текстів у редакційних кімнатах центрів, які «творять думки».

1193

Тема про заборону абортів, яку вчора запустила Івано-Франківська міськрада, не «від добра» і, звісно, «для піару». Якщо «піаром» вважати висловлення консервативної правої традиціоналістської політичної позиції.

1358
10.07.2025

У сучасному ритмі життя готувати "здорову вечерю з трьох страв" щодня — радше мрія, ніж реальність. Але це не означає, що збалансоване харчування — лише для тих, хто має багато часу. Навпаки: з правильним підходом можна харчуватися повноцінно, навіть маючи 15–20 хвилин на день.  

657
04.07.2025

Харчування під час війни немає відрізнятись від звичного раціону, який був у мирний час, та обов'язково повинне бути збалансованим. 

24303
30.06.2025

Замість обмежень, радять зважати на контекст, баланс у раціоні та якість продуктів.  

548
11.07.2025

П'ятого серпня цього року в часі прощі з нагоди вшанування чудотворної ікони Гошівської Богородиці відбудеться презентація нової ікони тифлографічно-акустичного типу «Богородиця з Гошева».  

519
05.07.2025

Протягом двох днів, 12-13 липня, у Погінському монастирі Успіння Матері Божої відбудеться XVI міжнародний з'їзд Апостольства страждальної Матері Божої покровительки доброї смерті.  

665
30.06.2025

У рамках цього благодійного заходу зібрали 78 тисяч 320 гривень на підтримку 10 окремої гірсько-штурмової бригади «Едельвейс».  

1556
27.06.2025

Сьогодні, 27 червня, віряни відзначають свято Найсолодшого Господа Бога і Спаса нашого Ісуса Христа – Людинолюбця.  

720
11.07.2025

Історія занепаду пам’ятки архітектури та боротьба за його повернення громаді.

7410
09.07.2025

Президент США Дональд Трамп, аби втримати пУтіна від вторгнення в Україну, погрожував російському диктатору «розбомбити Москву до бісової матері».

669
04.07.2025

«Більдерберзький клуб» — одна із найбільш загадкових закритих «тусовок». Зустрічі клубу щороку тривають кілька днів щоразу в іншому місці.

1729 3
02.07.2025

Президент США Дональд Трамп оглянув новий центр утримання мігрантів "Алігатор Алькатрас" у Південній Флориді.  

655
26.06.2025

Рішення саміту НАТО, ухвалене у Гаазі за підтримки президента США Дональда Трампа, підтверджує статус росії як спільної загрози для всього Альянсу.  

562