Как восстановить данные после атаки вируса Petya (подробная инструкция)

Автор

Восстановление возможно не во всех случаях, однако в некоторых все действительно поправимо.

Атака вируса Petya.A за несколько дней охватила десятки стран и развилась до масштабов эпидемии в Украине, где в распространении зловреда была причастна программа для отчетности и документооборота M.E.Doc. Позже эксперты выяснили, что целью злоумышленников было полное уничтожение данных, но, как сообщает киберполиция Украины, при частичном заражении системы шанс восстановить файлы есть.

Как работает Petya?

Если вирус получает права администратора, исследователи выделяют три основных сценария его воздействия:

- Компьютер заражен и зашифрован, система полностью скомпрометрирована. Для восстановления данных требуется закрытый ключ, а на экране отображается сообщение с требованием уплатить выкуп (хотя это не поможет).
- Компьютер заражен и частично зашифрован — система начала шифровать файлы, но отключением питания или другими способами пользователь остановил этот процесс.
- Компьютер заражен, но процесс шифрования таблицы MFT еще не начался.

В первом случае действенного способа расшифровки данных пока нет. Сейчас его поиском занимаются специалисты киберполиции и IT-компаний, а также создатель оригинального вируса Petya (позволявшего восстанавливать систему с помощью ключа). Если же главная таблица файлов MFT нарушена частично или вовсе не затронута, шанс получить доступ к файлам все еще есть.

В киберполиции назвали два основных этапа работы модифицированного вируса Petya:

Первый: получение привилегированных прав администратора (при использовании Active Directory они отключены). Сначала вирус сохраняет оригинальный загрузочный сектор для операционной системы MBR в зашифрованном виде битовой операции XOR (xor 0x7), после чего записывает на его место свой загрузчик. Остальная часть кода трояна записывается в первые секторы диска. На этом этапе создается текстовый файл о шифровании, но данные еще не зашифрованы.

Вторая фаза шифрования данных начинается после перезагрузки системы. Petya обращается уже к собственному конфигурационному сектору, в котором есть отметка о не зашифрованных данных. После этого начинается процесс шифрования, на экране от отображается как работа программы Check Disk. Если он уже запущен, стоит отключить питание и попробовать воспользоваться предложенным способом восстановления данных.

Что предлагают?

Для начала нужно загрузиться с установочного диска Windows. Если при этом будет видна таблица с разделами жесткого диска (или SSD), можно приступить к процедуре восстановления загрузочного сектора MBR. Затем стоит проверить диск на наличие зараженных файлов. Сегодня Petya распознают все популярные антивирусы.

Если процесс шифрования был начат, но пользователь успел его прервать, после загрузки операционной системы необходимо воспользоваться программным обеспечением для восстановления зашифрованных файлов (R-Studio и другие). Данные нужно будет сохранить на внешний носитель и переустановить систему.

Как восстановить загрузчик?

В киберполиции опубликовали инструкцию по восстановлению загрузочного сектора для разных версий Windows.

Для ОС Windows XP:

После загрузки установочного диска Windows XP в оперативную память ПК появится диалоговое окно «Установка Windows XP Professional» с меню выбора, где необходимо выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R». Нажмите клавишу «R».

Загрузится консоль восстановления.
Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, появится следующее сообщение:
«1: C: \ WINDOWS В какую копию Windows следует выполнить вход?»
Введите цифру «1», нажмите клавишу «Enter».
Появится сообщение: «Введите пароль администратора». Введите пароль, нажмите клавишу «Enter» (если пароля нет, просто нажмите «Enter»).
Должен появиться запрос: C: \ WINDOWS>, введите fixmbr

Затем появится сообщение: «ПРЕДУПРЕЖДЕНИЕ».
«Подтверждаете запись новой MBR?», нажмите клавишу «Y».
Появится сообщение: «Создается новый основной загрузочной сектор на физический диск \ Device \ Harddisk0 \ Partition0.»
«Новый основной загрузочный раздел успешно создан».

Для Windows Vista:

Загрузите Windows Vista. Выберите язык и раскладку клавиатуры. На экране приветствия нажмите «Восстановить работоспособность компьютера». Windows Vista отредактирует компьютерное меню.

Выберите операционную систему и нажмите кнопку «Далее». Когда появится окно «Параметры восстановления системы», нажмите на командную строку. Когда появится командная строка, введите эту команду:

bootrec / FixMbr
Подождите завершения операции. Если все прошло успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 7:

Загрузите Windows 7. Выберите язык, раскладку клавиатуры и нажмите кнопку «Далее».

Выберите операционную систему и нажмите кнопку «Далее». При выборе операционной системы следует проверить «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

На экране «Параметры восстановления системы» нажмите кнопку «Командная строка». Когда командная строка успешно загрузится, введите команду:

bootrec / fixmbr
Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 8:

Загрузите Windows 8. На экране «Приветствие» нажмите кнопку «Восстановить компьютер».

Выберите «Устранение неисправностей». Выберите командную строку, когда она загрузится, введите:

bootrec / FixMbr
Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.

Для Windows 10:

Загрузите Windows 10. На экране приветствия нажмите кнопку «Восстановить компьютер», выберите «Устранение неисправностей».

Выберите командную строку. Когда загрузится командная строка, введите команду:

bootrec / FixMbr
Подождите, пока операция завершится. Если все прошло успешно, на экране появится сообщение о подтверждении.
Нажмите клавишу «Enter» и перезагрузите компьютер.