Як відновити доступ до ПК після атаки вірусом Petya: покрокова інструкція

 

Відновлення доступу до операційної системи, яка була частково уражена модифікованою троянською програмою "Petya".

У процесі дослідження вірусу Petya та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора):

Комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
Комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Що стосується першого сценарію (варіанту) – нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Таким чином модифікована троянська програма Petya працює в кілька етапів:

Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Чому так? Тому, що описане вище – це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи, за умов, якщо:

процес шифрування було запущено, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування;

процес шифрування таблиці MFT ще не розпочався через фактори, які не залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо).

Рекомендуємо провести наступні дії для перевірки та відновлення зашифрованої інформації:

– завантажитись з інсталяційного диску Windows Вашого ПК;

– після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

– провести процедури відновлення MBR:

Для Windows XР:

Після завантаження інсталяційного диску Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно "Установка Windows XP Professional", що містить меню вибору, необхідно вибрати пункт "щоб відновити Windows XP за допомогою консолі відновлення, натисніть R". [R = Відновити].

Натисніть клавішу "R".

Завантажиться консоль відновлення.

Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:

"1: C: WINDOWS У яку копію Windows слід виконати вхід?"

Введіть клавішу "1", натисніть клавішу "Enter".

З'явиться повідомлення: "Введіть пароль адміністратора". Введіть пароль, натисніть клавішу "Enter" (якщо пароля немає, просто натисніть "Enter").

Повинно з'явитись запрошення системи: C: WINDOWS> , введіть fixmbr

З'явиться повідомлення: "ПОПЕРЕДЖЕННЯ".

"Чи підтверджуєте запис нової MBR?", натисніть клавішу "y".

З'явиться повідомлення: "Проводиться новий основний завантажувальний запис на фізичний дискDeviceHarddisk0Partition0."

"Новий основний завантажувальний запис успішно зроблений".

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть "Відновити працездатність комп'ютера". Windows Vista відредагує комп'ютерне меню.

Виберіть операційну систему та натисніть кнопку "Далі".

Коли з'явиться вікно "Параметри відновлення системи", натисніть на командний рядок.

Коли з'явиться командний рядок, введіть цю команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 7

Завантажте Windows 7.

Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку "Далі".

Виберіть операційну систему та натисніть кнопку "Далі". Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7".

Коли командний рядок успішно завантажується, введіть команду:

bootrec /fixmbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані "Вітання" натисніть кнопку "Відновити комп'ютер";

Windows 8 відновить комп'ютерне меню;

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть такі команди:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter"і перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку "Відновити комп'ютер";

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

– після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.

Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "MEdoc", ніякої інформації не передавалось.

 

Блог Медіа


03.07.2017 1628 0
Коментарі (0)

16.09.2025

Попри російсько-українську війну, що триває з 2022 року, туризм на Івано-Франківщині не просто виживає, але й активно розвивається.    

252
14.09.2025
Вікторія Матіїв

Олексій Солоданюк загинув 23 серпня 2023 року на Запорізькому напрямку. Сім'я Солоданюк родом з Черкащини, але останні дев'ять років проживали у Києві. Після загибелі чоловіка Катерина разом з дворічною донечкою Соломією переїхали в Івано-Франківськ.  

1530
09.09.2025

Чому історичні скарби під загрозою?

1347
05.09.2025
Вікторія Косович

Як в Івано-Франківську справляються з викликами в умовах війни, які інфраструктурні проєкти реалізовують та що планують після перемоги, Фіртка поспілкувалася з заступником мера, директором департаменту інфраструктури, житлової та комунальної політики Івано-Франківської міської ради Михайлом Смушаком.

1173
01.09.2025
Вікторія Матіїв

Журналістка Фіртки розпитала шкільну практичну психологиню Віталію Саламащак про те, як війна впливає на емоційний стан учнів, які методи допомагають дітям впоратись зі стресом та тривожністю і що батькам і вчителям варто знати, щоб підтримати дітей у цей непростий час.

1194
30.08.2025

Кримінальний шлейф компанії-переможця «Коста-Проект» викликає занепокоєння щодо прозорості будівництва системи лінійної телемеханіки.  

7288

Свого часу транзитом на Тибет вдалося відвідати Непал та його столицю Катманду. І за ці кілька днів вісім років тому склалося враження, що непальці багато в чому подібні до українців.

304

Некромантія — це про культуру. Культура, яка по суті є рекультивацією, стає просто культом смерті. Ніби логічно — чим більше мудрості, тим більше любови до смерті. Або ж сили й наснаги її прийняти. Це культ або ж ритуал.

475

Ще недавно приналежність до певної конфесії визначали також за однією ознакою, вважаючи, що православний священник має бороду, а католицький — з поголеним обличчям.

710

Цього дня, рівно 148 років тому, 22 серпня 1877 року народився мій прапрадід Самійло Головенський. Він був козацького роду, заможним, володів 30-ма гектарами поля та млином. В радянські часи його назвали «куркулем».

1750
16.09.2025

Добра тарілка — це не дієта, а насолода: страви, які радують очі, душу і живлять тіло. Навіть простий перекус може стати маленьким ритуалом, що заряджає позитивом на кілька годин уперед.  

105
10.09.2025

Час останнього прийому їжі може впливати на здоров’я не менше, ніж її склад.  

1198
06.09.2025

Сіль супроводжує людство тисячоліттями. Колись вона була «білим золотом», за яке воювали й платили цілими статками, а сьогодні часто стає об’єктом звинувачень у шкоді для здоров’я.  

682
16.09.2025

Простий образ сіяча й зерна розкриває глибоку істину: від нас залежить, чи проросте й принесе плід те, що ми чуємо й сприймаємо.

109
09.09.2025

Християнська родина — це не лише осередок любові й підтримки, а й «домашня Церква».  

1358
05.09.2025

Вірян запрошують на прощу до Погінського монастиря, що на Прикарпатті.  

947
03.09.2025

Мер Івано-Франківська Руслан Марцінків підтримав позицію Українського католицького університету щодо враховування світоглядних критеріїв при відборі студентів на програму з проживанням у колегіумі.  

1497 1
16.09.2025

Суди викривають байдужість місцевих рад до збереження історичних пам’яток.  

235
04.09.2025

В Пекіні відбувся найбільший в історії Китаю військовий парад, присвячений 80-літтю завершення Другої Світової війни.

1158
01.09.2025

FP-5 «Фламі́нго» — українська крилата ракета великої дальності. Перші фотографії ракети опубліковані 17 серпня 2025 року. Пізніше оприлюднені її технічні дані свідчать, що українська ракета вдвічі перевищує як дальність, так і вагу бойової частини знаменитих американських «Томагавків». При цьому вона приблизно вдвічі дешевша за американські ракети.  

1444
23.08.2025

Лише в серпні поточного року українськими дронами були вражені, деякі по кілька разів, сім великих нафтопереробних підприємств Росії та інша інфраструктура. Загалом враженими виявилися підприємства, які забезпечують 14% ринку пального Росії.  

913
16.08.2025

Так виглядає, що Трамп принижений путіним. Трамп ризикнув, поставивши на кон хоч і не все, але багато. І програв. Перед самітом на Алясці він заявляв, що якщо не досягне за результатами особистої зустрічі припинення вогню в Україні, то буде незадоволеним. Припинення вогню він не отримав. Але після тригодинних переговорів заявив, що оцінка зустрічі — «десять з десяти».  

3381 16