Інструкцію по відновлення доступу до операційної системи, яка була частково вражена модифікованої троянської програмою «Petya» підготувала українська кіберполіції.
У процесі дослідження вірусу і його шкідливого впливу на комп'ютери користувачів, виявлено кілька варіантів його втручання (в разі надання вірусу права адміністратора при його запуску):
- Комп'ютери заражені і зашифровані (система повністю скомпрометована). Відновлення вимагає знання закритого ключа. На екрані комп'ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.
- Комп'ютери заражені, частково зашифровані. Система почала процес шифрування, але зовнішні фактори (наприклад, відключення живлення і т.д.) припинили процес шифрування.
- Комп'ютери заражені. але при цьому процес шифрування таблиці MFT ще не почався.
Як розповідають поліцейські, що стосується першого сценарію - в даний час поки немає способу, який гарантовано проводить розшифровку даних. Вирішенням цього питання спільно займаються фахівці Департаменту кіберполіції, СБУ, ДССЗЗІ, українських та міжнародних ІТ компаній.
У той же час, в двох останніх випадках є шанс відновити інформацію, яка знаходиться на комп'ютері, так як таблиця розмітки MFT не порушена або порушена частково, а це значить, що, відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.
Нижче наведено кілька порад про відновлення доступу до ураженої вірусом ОС (за умови, що процес шифрування був запущений, але зовнішні фактори (наприклад, відключення живлення і т.д.) припинили процес шифрування або ж процес шифрування ще не почався через фактори, які не залежали від користувача (наприклад, збій в роботі вірусу, реакція антивірусного ПО і т.д.).
- завантажити систему з інсталяційного диска Windows вашого ПК;
- після завантаження, якщо жорсткі диски не зашифровані, то завантажувальний операційна система побачить їх і можна приступити до процесу відновлення MBR;
- провести процедуру відновлення MBR (як це робити дивіться нижче);
Після завантаження інсталяційного диска Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно «Установка Windows XP», що містить меню вибору. Потім необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». [R = Відновити]. Натисніть R.
Завантажиться консоль відновлення. Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення:
«1: C: WINDOWS У яку копію Windows слід виконати вхід?»
Натисніть 1, потім - Enter. З'явиться повідомлення: «Введіть пароль адміністратора». Введіть пароль, натисніть клавішу Enter (якщо пароля немає, просто натисніть Enter).
Повинно з'явитися запрошення системи: C: WINDOWS>, введіть fixmbr
З'явиться повідомлення: «ПОПЕРЕДЖЕННЯ». «Чи підтверджуєте запис нової MBR?». Натисніть кнопку «y».
З'явиться повідомлення: «Проводиться новий основний завантажувальний запис на фізичний диск Device Harddisk0 Partition0». «Новий основний завантажувальний запис успішно зроблена».
Для Windows Vista:
Завантажте Windows Vista. Виберіть мову і розкладку клавіатури. На екрані привітання натисніть «Відновити працездатність комп'ютера». Windows Vista відредагує комп'ютерне меню.
Виберіть операційну систему і натисніть кнопку «Далі». Коли з'явиться вікно «Параметри відновлення системи», натисніть на командний рядок.
Коли з'явиться командний рядок, введіть цю команду: bootrec / FixMbr
Зачекайте, поки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 7. Виберіть мову. Виберіть розкладку клавіатури. Натисніть кнопку "Далі". Виберіть операційну систему і натисніть кнопку «Далі». При виборі операційної системи слід перевірити «Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми з запуском Windows».
На екрані «Параметри відновлення системи» натисніть кнопку «Командний рядок» на екрані «Параметри відновлення системи Windows 7».
Коли командна рядок успішно завантажується, введіть команду:
Зачекайте, поки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 8. На екрані «Привітання» натисніть кнопку «Відновити комп'ютер». Windows 8 відновить комп'ютерне меню. Виберіть «Усунення несправностей»
Виберіть командний рядок. Коли завантажується командний рядок, введіть наступні команди:
Зачекайте, поки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Завантажте Windows 10. На екрані привітання натисніть кнопку «Відновити комп'ютер». Виберіть «Усунення несправностей». Виберіть командний рядок.
Коли завантажується командний рядок, введіть команду:
Зачекайте, поки операція закінчиться. Якщо все успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть кнопку «Enter» і перезавантажте комп'ютер.
Після зазначених процедур
Після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.
Зазначені дії також актуальні, якщо процес шифрування було розпочато, але не завершено і користувач відключив ПК від харчування на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатися програмним забезпеченням по відновленню файлів (піт типу RStudio), після чого скопіювати їх на зовнішній носій і перевстановити систему.
На додаток: якщо ви використовуєте програми відновлення даних, які записують свій завантажувальний сектор (на кшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.