Як відновити доступ до ПК після атаки вірусом Petya: покрокова інструкція

 

Відновлення доступу до операційної системи, яка була частково уражена модифікованою троянською програмою "Petya".

У процесі дослідження вірусу Petya та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання (у разі надання трояну при його запуску, прав адміністратора):

Комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
Комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Що стосується першого сценарію (варіанту) – нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Таким чином модифікована троянська програма Petya працює в кілька етапів:

Перший: отримання привілейованих прав (права адміністратора). На багатьох комп'ютерах в Windows архітектурі (Active Directory) ці права відключені. Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска. На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані.

Чому так? Тому, що описане вище – це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Другий: після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи, за умов, якщо:

процес шифрування було запущено, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування;

процес шифрування таблиці MFT ще не розпочався через фактори, які не залежали від користувача (збій у роботі вірусу, реакція антивірусного ПЗ на дії вірусу тощо).

Рекомендуємо провести наступні дії для перевірки та відновлення зашифрованої інформації:

– завантажитись з інсталяційного диску Windows Вашого ПК;

– після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

– провести процедури відновлення MBR:

Для Windows XР:

Після завантаження інсталяційного диску Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно "Установка Windows XP Professional", що містить меню вибору, необхідно вибрати пункт "щоб відновити Windows XP за допомогою консолі відновлення, натисніть R". [R = Відновити].

Натисніть клавішу "R".

Завантажиться консоль відновлення.

Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:

"1: C: WINDOWS У яку копію Windows слід виконати вхід?"

Введіть клавішу "1", натисніть клавішу "Enter".

З'явиться повідомлення: "Введіть пароль адміністратора". Введіть пароль, натисніть клавішу "Enter" (якщо пароля немає, просто натисніть "Enter").

Повинно з'явитись запрошення системи: C: WINDOWS> , введіть fixmbr

З'явиться повідомлення: "ПОПЕРЕДЖЕННЯ".

"Чи підтверджуєте запис нової MBR?", натисніть клавішу "y".

З'явиться повідомлення: "Проводиться новий основний завантажувальний запис на фізичний дискDeviceHarddisk0Partition0."

"Новий основний завантажувальний запис успішно зроблений".

Для Windows Vista:

Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть "Відновити працездатність комп'ютера". Windows Vista відредагує комп'ютерне меню.

Виберіть операційну систему та натисніть кнопку "Далі".

Коли з'явиться вікно "Параметри відновлення системи", натисніть на командний рядок.

Коли з'явиться командний рядок, введіть цю команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 7

Завантажте Windows 7.

Виберіть мову.

Виберіть розкладку клавіатури.

Натисніть кнопку "Далі".

Виберіть операційну систему та натисніть кнопку "Далі". Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".

На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7".

Коли командний рядок успішно завантажується, введіть команду:

bootrec /fixmbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

Для Windows 8

Завантажте Windows 8.

На екрані "Вітання" натисніть кнопку "Відновити комп'ютер";

Windows 8 відновить комп'ютерне меню;

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть такі команди:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter"і перезавантажте комп'ютер.

Для Windows 10

Завантажте Windows 10.

На екрані привітання натисніть кнопку "Відновити комп'ютер";

Виберіть "Усунення несправностей";

Виберіть командний рядок.

Коли завантажується командний рядок, введіть команду:

bootrec /FixMbr

Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.

Натисніть клавішу "Enter" і перезавантажте комп'ютер.

– після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.

Вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "MEdoc", ніякої інформації не передавалось.

 

Блог Медіа


03.07.2017 1587 0
Коментарі (0)

10.08.2025
Олександр Мізін

Схеми з державною землею в Івано-Франківській та Львівській областях викривають системні зловживання: розкрадання коштів на врожаю, рейдерство, незаконна приватизація.

603
07.08.2025
Лука Головенський

Про історію блаженної Едігни нам вперше в інтерв’ю розповів отець Володимир Війтович, настоятель головного Храму УГКЦ в Мюнхені.

1341
06.08.2025

Фіртка зібрала офіційну статистику щодо внутрішньо переміщених осіб в Івано-Франківській області. За цими цифрами — реальні життя людей, зі своїми радощами та бідами, які прагнуть гідного майбутнього попри всі виклики.

5743
05.08.2025
Тетяна Ткаченко

Журналістка Фіртки поспілкувалася з учасниками івано-франківського гурту LaBlur, які розповіли, як зароджувався їхній колектив, чому музика — це їхній порятунок та як вони поєднують творчість із благодійністю.  

653
31.07.2025

Фіртка неодноразово викривала проблему булінгу в школах Івано-Франківської області. У продовження теми ми поспілкувалися із нальником Головного управління Національної поліції в Івано-Франківській області Сергієм Безпалько та дитячими психологами.    

630
30.07.2025
Олег Головенський

Фіртка поспілкувалася з Олександром Красовицьким —письменником та видавцем, генеральним директором та власником харківського видавництва «Фоліо».   

3551 17

Вмираючи, сер Ніколас Горацій Аспер марив пророцтвами Нострадамуса, вавилонським краєзнавством і курсами лондонської біржи, співав псалми і сури арабською, пророкував Антихриста (в його арабському варіанті – Джаджала) і спілкувався з астральними привидами давніх царів.

308

Існує такий народний вислів: «в церковному календарі кожен день свято» і це частково правда, а частково ні. Використання цього виразу звучить як висміювання релігійної традиції.

349

Найперше в цій історії із законом, що позбавив антикорурційні органи «незалежності», тішать молоді люди, які протестують. Щирі, світлі, небайдужі, впевнені своїй правоті…

1017 1

Протягом своєї історії християнство завжди використовувало найсучасніші на той час технології для проповіді Євангелія.  

585
05.08.2025

В Івано-Франківській громаді розпочали збір врожаю на землях комунального підприємства.  

432
03.08.2025

Цукор — один із найбільш суперечливих інгредієнтів у нашому харчуванні. Його звинувачують у розвитку ожиріння, діабету, “залежності” та навіть депресії. Але чи справді потрібно повністю уникати цукру? Або ж питання лише у його кількості?  

499
25.07.2025

Здорове харчування не лише підтримує фізичний стан, а й допомагає залишатись стійкими перед труднощами та випробуваннями.  

2340
06.08.2025

У день Преображення Господнього, 6 серпня, в івано-франківських храмах традиційно відбулося освячення плодів та кошиків із дарами врожаю.  

743
01.08.2025

На вихідних, 2-3 серпня, відбудеться XIII Всеукраїнська Патріарша проща до Крилоса.  

373
28.07.2025

У селищі Делятин на Івано-Франківщині відбулася знакова для громади подія — освячення храму Всіх Святих Українського Народу.  

913
21.07.2025

У Святому Письмі є притча, що вчить милосердю і взаємодопомозі, яку часто наводять як приклад для сучасного суспільства.  

539
07.08.2025

Біля Галича археологи виявили залишки дороги, яку вимостили за часів Княжої доби. Вона вела до Церкви Святого Пантелеймона.  

702
07.08.2025

фото: РБК Президент України Володимир Зеленський посів друге місце в рейтингу світових політиків за позитивним сприйняттям у США. Вище тільки Папа Лев ХІV. Про це повідомляє Фіртка з посиланням на дані опитування Gallup. Серед 14 відом

434
05.08.2025

Росія продовжує втрачати позиції на європейському газовому ринку, де домінувала з ще радянських часів.

546
02.08.2025

Президент США Дональд Трамп заявив про кількість втрат росіян у 2025 році.  

559
25.07.2025

263 народні депутати підтримали законопроєкт, зокрема — дев’ятеро з Івано-Франківщини. Хто і як голосував, і якою була їхня реакція згодом — розповідає Фіртка.

2145 1