Киберполиция Украины опубликовала советы, как восстановить частично зашифрованные данные на компьютере после поражения ОС вирусом Petya.
При этом в полиции отмечают, что полностью зараженные и зашифрованные компьютеры пока не знают как восстановить.
Возобновить данные можно в двух случаях: система начала процесс шифрования, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования и компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.
В полиции пояснили, что вирус поражает систему в два этапа:
- получение права администратора, когда вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции, а затем записывает свой загрузчик на место вышеуказанного сектора. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы. Это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.
- после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования.
Чтобы восстановить частично зашифрованные данные в полиции рекомендуют загрузить инсталляционный диск Windows и после загрузки, если жесткие диски не зашифрованные, загрузочная операционная система увидит их и можно начинать восстановление.
Для Windows XP в меню выбора установки нужно выбрать "чтобы восстановить Windows XP при помощи консоли для восстановления, нажмите R" и нажать клавишу.
Для Windows Vista нужно выбрать пункт "Восстановить работоспособность компьютера" и в окне параметров ввести команду bootrec /FixMbr.
Такая же команда работает на Windows 7, Windows 8 и Windows 10.
После восстановления нужно проверить диск антивирусными программами.
Напомним, что вирус Petya разработали в агентстве национальной безопасности (АНБ, американская спецслужба) США, откуда его похитили хакеры. Об этом пишет New York Times.
Как сообщала "Страна", в СБУ объявили о причастности российских спецслужб к кибертатаке вирусом-вымогателем Petya.