У кіберполіції пояснили, як "оживити" комп'ютер після атаки Petya.A
Кіберполіція надала рекомендації для відновлення частково зашифрованих даних, що постраждали від атаки вірусу-здирника Petya.A.
Їх оприлюднено на сайті відомства.
Як зазначається, під час дослідження вірусу виявлено три варіанти його втручання. Перший: комп’ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
Другий: комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр., вимкнення живлення тощо) припинили процес шифрування.
І третій: комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.
Щодо першого варіанту, фахівцям не вдалося поки що встановити спосіб, який гарантовано проводить розшифрування даних. Над вирішенням цього питання працюють спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ-компаній.
Проте у двох останніх випадках є шанс відновити інформацію, оскільки таблиця розмітки MFT не порушена або порушена частково, а це означає, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
У такому разі необхідно спочатку завантажитись з інсталяційного диска Windows для ПК. Після цього, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх та можна розпочинати процес відновлення MBR (рекомендації, як це зробити, для різних версій ОС Windows наводяться на сайті кіберполіції).
Після процедури відновлення MBR потрібно перевірити диск антивірусними програмами на наявність заражених файлів.
Як наголосили у кіберполіції, ці дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив комп'ютер від живлення на початкових процесах шифрування. В такому разі після завантаження ОС треба скористатись програмним забезпеченням з відновлення файлів (на кшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.
Якщо ж використовується програма відновлення даних, яка записує свій завантажувальний сектор (на кшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки, зазначили у відомстві.
"Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми "M.E.doc", ніякої інформації не передавалось", - підкреслили у кіберполіції.
Як повідомлялося, 27 червня хакери атакували внутрішні системи низки українських банків, енергетичних і транспортних компаній, а також органів влади, заразивши комп'ютери вірусом-здирником Petya.A.
Компанія Microsoft заявила, що причиною масових кібератак проти України стала програма для звітності та документообігу M.E.doc.
СБУ встановила причетність спецслужб Росії до хакерської атаки.
Раніше повідомлялося, що до Національної поліції України надійшло понад 2,1 тис. повідомлень про інфікування комп'ютерних мереж вірусом-шифрувальником.