Наслідки і відновлення системи після вірусу Petya

1. Наслідки після вірусу Petya Вже пройшов тиждень після того як на Україну обсушити Petya. Загалом...
2. Відновлення ПК після вірусу Petya
3. Windows XP
4. Windows Vista:
5. Windows 7:
6. Windows 8 і 10:

Наслідки після вірусу Petya

Вже пройшов тиждень після того як на Україну обсушити Petya. Загалом від цього вірусу-шифрувальника постраждали понад півсотні стан в усьому світі, але 75% масової кібератаки обрушилося на Україну. Постраждали державні та фінансові установи по всій країні, одними з перших хто повідомив, що їх системи піддалися хакерській атаці стали Укренерго та Київенерго. Для проникнення і блокування вірус Petya.A використовував бухгалтерську програму MEDoc. Це ПО дуже популярно у різного роду установах в Україні, що і стало фатальним. У підсумку, у деяких компаній відновлення системи після вірусу Petya зайняло багато часу. Деяким вдалося відновити роботу тільки вчора, через 6 днів після масової атаки вірусу-шифрувальника.

Мета вірусу Petya

Метою більшості вірусів-шифрувальником, є вимагання. Вони шифрують інформацію на ПК жертви і вимагають у неї гроші за отримання ключа, який відновить доступ до зашифрованих даних. Але не завжди шахраї тримають слово. Деякі шифрувальники просто не створені для того щоб бути розшифрованими і вірус «Петя» один з них.

Цю сумну новину повідомили фахівці з «Лабораторії Касперського». Для того щоб відновити дані після вірусу-шифрувальника, необхідний унікальний ідентифікатор установки вірусу. Але в ситуації в новим вірусом, він взагалі не генерує ідентифікатор, тобто творці шкідливого ПО навіть не розглядали варіант відновлення ПК після вірусу Petya.

Але при цьому жертви отримували повідомлення в якому називався адресу куди перевести 300 $ в біткоіни, для того щоб відновити систему. У таких випадках експерти не рекомендують сприяти хакерам, але все-таки творцям «Петі» вдалося заробити понад 10 000 $ за 2 дні після масової кібератаки. Але експерти впевнені, що вимагання не було їх головним завданням, так як цей механізм був погано продуманий, на відміну від інших механізмів вірусу. З цього можна припустити, що мета вірусу Petya полягала в дестабілізації роботи глобальних підприємств. Також цілком можливо, що хакери просто поспішили і погано продумали частина отримання грошей.

Відновлення ПК після вірусу Petya

На жаль, після повного зараження Petya дані на комп'ютері відновленню не підлягають. Але тим не менше є спосіб як розблокувати комп'ютер після вірусу «Петя», якщо шифрувальник не встиг повністю зашифрувати дані. Він був оприлюднений на офіційному сайті кіберполіції , 2 липня.

Існує три варіанти зараження вірусом Petya

- вся інформація на ПК повністю зашифрована, на екрані висвічується вікно з вимаганням грошей;
- дані ПК частково зашифровані. Процес шифрування був перерваний зовнішніми факторами (вкл. Харчування);
- ПК заражений, але процес шифрування таблиць MFT ні розпочато.

У першому випадку все погано - система відновленню не підлягає. За край ній мірі на даний момент.
У двох останніх варіантах, ситуацію можна виправити.
Щоб відновити дані які частково були зашифровані рекомендується завантажити інсталяційний диск Windows:

У разі якщо жорсткий диск не був пошкоджений вірусом-шифрувальником, завантажувальна ОС побачить файли почне відновлення MBR:

Для кожної версії Windows цей процес має свої нюанси.

Windows XP

Після завантаження інсталяційного диска, на екран виводиться вікно «Установки Windows XP Professional», там потрібно вибрати «щоб відновить Windows XP за допомогою консолі відновлення натисніть R». Після натискання R, і почне завантажуватися консоль відновлення.

Якщо на пристрої інстальовано одну операційну систему і вона знаходиться на диску С, з'явиться повідомлення:
«1: C: \ WINDOWS яку копію Windows слід використовувати для входу?» Відповідно необхідно натиснути клавішу «1» і «Enter».
Після чого з'явиться: «Введіть пароль адміністратора». Введіть пароль і натисніть «Enter» (в разі якщо немає пароля тисніть «Enter»).
Має з'явитися запрошення в систему: C: \ WINDOWS>, введіть fixmbr.

Після чого з'явиться «ПОПЕРЕДЖЕННЯ».
Для підтвердження нового запису MBR, треба натиснути «y».
Потім з'явиться повідомлення «Проводиться новий основний завантажувальний запис на фізичний диск \ Device \ Harddisk0 \ Partition0.»
І: «Новий основний завантажувальний запис успішно зроблена».

Windows Vista:

Тут ситуація простіше. Завантажте ОС, виберете мову і розкладку клавіатури. Потім на екрані з'явиться «Відновити працездатність комп'ютера» З'явиться меню, в якому необхідно вибрати «Далі». З'явиться вікно з параметрами відновленої системи, де треба натиснути на командний рядок, в якій необхідно ввести bootrec / FixMbr.
Після цього треба дочекатися завершення процесу, якщо все пройшло успішно, з'явиться повідомлення про підтвердження - тисніть «Enter», і комп'ютер почне перезавантажуватися. Усе.

Windows 7:

Процес відновлення схожий на Vista. Вибравши мову і розкладку клавіатури, виберете ОС, після чого натисніть «Далі». У новому вікні виберіть пункт «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми з запуском Windows».
Всі інші дії аналогічні Vista.

Windows 8 і 10:

Завантажте ОС, на вікні яке з'явиться виберете пункт Відновити комп'ютер> усунення несправностей, де натиснувши на командний рядок введіть bootrec / FixMbr. Після завершення процесу натисніть «Enter» і перезавантажте пристрій.

Після того як процес відновлення MBR, завершився успішно (в незалежності від версії Windows) необхідно просканувати диск антивірусом.
У разі коли процес шифрування було розпочато вірусом, можна використовувати ПО по відновленню файлів, наприклад, таке як Rstudio. Після скопіювати їх на знімний носій, необхідно переустановити систему.
У разі коли, Ви використовуєте програми відновлення даних записані на завантажувальний сектор, наприклад Acronis True Image, то можете бути впевнені «Петя» не зачепив це сектор. А це означає, що можете повернути систему в робочий стан, без перевстановлення.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter.