Meniul
AcasăAvarii

Cum să recuperați datele după un atac al virusului Petya (instrucțiuni pas cu pas). SBU a spus cum să vindece un computer de virusul Petya

Atacul virusului Petya.A a acoperit zeci de țări în câteva zile și s-a dezvoltat până la proporții epidemice în Ucraina, unde programul de raportare și gestionare a documentelor M.E.Doc a fost implicat în răspândirea malware-ului. Ulterior, experții au spus că scopul atacatorilor a fost să distrugă complet datele, dar, potrivit poliției cibernetice ucrainene, dacă sistemul este parțial infectat, există șansa de a restaura fișierele.

Cum funcționează Petya

Dacă un virus câștigă drepturi de administrator, cercetătorii identifică trei scenarii principale pentru impactul său:

  • Computerul este infectat și criptat, sistemul este complet compromis. Pentru a recupera datele, este necesară o cheie privată, iar pe ecran este afișat un mesaj care solicită plata unei răscumpărări (deși aceasta este).
  • Computerul este infectat și parțial criptat - sistemul a început să cripteze fișierele, dar utilizatorul a oprit acest proces prin oprirea alimentării sau prin alte mijloace.
  • Computerul este infectat, dar procesul de criptare a tabelului MFT nu a început încă.

În primul caz, nu există încă o modalitate eficientă de a decripta datele. Acum îl caută și specialiști din poliția cibernetică și companii IT creatorul virusului original Petya(permițându-vă să restaurați sistemul folosind o cheie). Dacă tabelul principal de fișiere MFT este parțial sau nu este afectat deloc, există încă șansa de a obține acces la fișiere.

Poliția cibernetică a numit două etape principale ale virusului Petya modificat:

În primul rând: obținerea drepturilor de administrator privilegiate (sunt dezactivate când se utilizează Active Directory). În primul rând, virusul salvează sectorul de pornire original pentru sistemul de operare MBR într-o formă criptată a operațiunii de biți XOR (xor 0x7), apoi își scrie propriul bootloader în locul său. Restul codului troian este scris în primele sectoare ale discului. În acest moment, este creat un fișier text despre criptare, dar datele nu sunt încă criptate.

A doua fază a criptării datelor începe după repornirea sistemului. Petya accesează acum propriul sector de configurare, care conține un marcaj despre datele necriptate. După aceasta, începe procesul de criptare, iar ecranul arată cum rulează programul Check Disk. Dacă rulează deja, ar trebui să opriți alimentarea și să încercați să utilizați metoda de recuperare a datelor propusă.

Ce oferă ele?

Mai întâi trebuie să porniți de pe discul de instalare Windows. Dacă este vizibilă un tabel cu partiții de hard disk (sau SSD), puteți începe procedura de restaurare a sectorului de boot MBR. Apoi ar trebui să verificați discul pentru fișiere infectate. Astăzi, Petya este recunoscut de toate antivirusurile populare.

Dacă procesul de criptare a fost demarat, dar utilizatorul a reușit să-l întrerupă, după încărcarea sistemului de operare, trebuie să utilizați software pentru a recupera fișierele criptate (R-Studio și altele). Datele vor trebui salvate pe un suport extern și sistemul reinstalat.

Cum să restabiliți bootloader-ul

Pentru sistemul de operare Windows XP:

După încărcarea discului de instalare Windows XP în memoria RAM a computerului, va apărea caseta de dialog „Instalați Windows XP Professional” cu un meniu de selecție în care trebuie să selectați „pentru a restaura Windows XP utilizând Consola de recuperare, apăsați R”. Apăsați TASTA „R”.

Consola de recuperare se va încărca.

Dacă computerul are un sistem de operare instalat și acesta este (în mod implicit) instalat pe unitatea C, va apărea următorul mesaj:

„1:C:\WINDOWS La ce copie de Windows ar trebui să mă conectez?”

Introduceți numărul „1”, apăsați tasta „Enter”.

Va apărea un mesaj: „Introduceți parola de administrator”. Introduceți parola, apăsați „Enter” (dacă nu există parolă, doar apăsați „Enter”).

Ar trebui să vi se solicite: C:\WINDOWS>, introduceți fixmbr

Va apărea apoi mesajul „AVERTISMENT”.

„Confirmați introducerea noului MBR?”, apăsați tasta „Y”.

Va apărea un mesaj: „Se creează un nou sector de boot primar pe discul fizic \Device\Harddisk0\Partition0”.

„Noua partiție de pornire primară a fost creată cu succes.”

Pentru Windows Vista:

Descărcați Windows Vista. Selectați limba și aspectul tastaturii. Pe ecranul de bun venit, faceți clic pe „Restaurați computerul”. Windows Vista va edita meniul computerului.

Selectați sistemul dvs. de operare și faceți clic pe Următorul. Când apare fereastra Opțiuni de recuperare a sistemului, faceți clic pe Command Prompt. Când apare promptul de comandă, introduceți această comandă:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul a mers bine, pe ecran va apărea un mesaj de confirmare.

Pentru Windows 7:

Porniți în Windows 7. Selectați limba, aspectul tastaturii și faceți clic pe Următorul.

Selectați sistemul dvs. de operare și faceți clic pe Următorul. Când alegeți un sistem de operare, ar trebui să bifați „Utilizați instrumente de recuperare care vă pot ajuta să rezolvați problemele la pornirea Windows”.

Pe ecranul Opțiuni de recuperare a sistemului, faceți clic pe butonul Prompt de comandă. Când promptul de comandă pornește cu succes, introduceți comanda:

bootrec/fixmbr

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 8:

Porniți în Windows 8. În ecranul de bun venit, faceți clic pe butonul Reparați computerul.

Selectați Depanare. Selectați linia de comandă, când se încarcă, introduceți:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul a mers bine, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 10:

Porniți în Windows 10. Pe ecranul de bun venit, faceți clic pe butonul „Reparați computerul”, selectați „Depanare”.

Selectați Command Prompt. Când se încarcă promptul de comandă, introduceți comanda:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul a mers bine, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

A trecut deja o săptămână de când Petya a aterizat în Ucraina. În general, peste cincizeci de țări din întreaga lume au fost afectate de acest virus de criptare, dar 75% din atacul cibernetic masiv a lovit Ucraina. Instituțiile guvernamentale și financiare din întreaga țară au fost afectate; Ukrenergo și Kyivenergo au fost printre primii care au raportat că sistemele lor au fost piratate. Pentru a pătrunde și a bloca, virusul Petya.A a folosit programul de contabilitate M.E.Doc. Acest software este foarte popular în rândul diferitelor instituții din Ucraina, care a devenit fatal. Drept urmare, pentru unele companii a durat mult timp pentru a-și restabili sistemul după virusul Petya. Unii au reușit să își reia activitatea abia ieri, la 6 zile după virusul ransomware.

Scopul virusului Petya

Scopul majorității virușilor ransomware este extorcarea. Ei criptează informațiile de pe computerul victimei și îi cer bani pentru a obține o cheie care va restabili accesul la datele criptate. Dar escrocii nu se țin întotdeauna de cuvânt. Unele ransomware pur și simplu nu sunt concepute pentru a fi decriptate, iar virusul Petya este unul dintre ele.

Această veste tristă a fost raportată de specialiștii de la Kaspersky Lab. Pentru a recupera datele după un virus ransomware, aveți nevoie de un identificator unic de instalare a virusului. Dar în situația cu un nou virus, acesta nu generează deloc un identificator, adică creatorii malware-ului nici măcar nu au luat în considerare opțiunea de restaurare a unui PC după virusul Petya.

Dar, în același timp, victimele au primit un mesaj în care au denumit adresa unde să transfere 300 de dolari în bitcoini pentru a restabili sistemul. În astfel de cazuri, experții nu recomandă asistența hackerilor, dar, cu toate acestea, creatorii Petya au reușit să câștige peste 10.000 de dolari în 2 zile după un atac cibernetic masiv. Dar experții sunt încrezători că extorcarea nu a fost scopul lor principal, deoarece acest mecanism a fost prost gândit, spre deosebire de alte mecanisme ale virusului. Din aceasta se poate presupune că scopul virusului Petya a fost de a destabiliza activitatea întreprinderilor globale. De asemenea, este cu totul posibil ca hackerii să fi fost pur și simplu grăbiți și să nu se gândească bine la partea de a obține bani.

Restaurarea unui PC după virusul Petya

Din păcate, odată ce Petya este complet infectat, datele de pe computer nu pot fi restaurate. Dar, cu toate acestea, există o modalitate de a debloca un computer după virusul Petya dacă ransomware-ul nu a avut timp să cripteze complet datele. A fost publicat pe site-ul oficial al poliției cibernetice pe 2 iulie.

Există trei opțiuni pentru infectarea cu virusul Petya

— toate informațiile de pe computer sunt complet criptate, pe ecran este afișată o fereastră cu extorcare de bani;
— Datele PC sunt parțial criptate. Procesul de criptare a fost întrerupt de factori externi (inclusiv alimentarea cu energie);
— PC-ul este infectat, dar procesul de criptare a tabelelor MFT nu a fost început.

În primul caz, totul este rău - sistemul nu poate fi restaurat. Cel putin pentru moment.
În ultimele două opțiuni, situația este remediabilă.
Pentru a recupera datele care au fost parțial criptate, se recomandă să descărcați discul de instalare Windows:

Dacă hard diskul nu a fost deteriorat de un virus ransomware, sistemul de operare de boot va vedea fișierele și va începe recuperarea MBR:

Pentru fiecare versiune de Windows, acest proces are propriile sale nuanțe.

Windows XP

După încărcarea discului de instalare, pe ecran apare fereastra „Windows XP Professional Settings”, unde trebuie să selectați „pentru a restaura Windows XP folosind consola de recuperare, apăsați R”. După ce apăsați R, consola de recuperare va începe să se încarce.

Dacă dispozitivele au instalat un sistem de operare și acesta se află pe unitatea C, va apărea o notificare:
„1: C:\WINDOWS ce copie de Windows ar trebui să folosesc pentru a mă autentifica?” În consecință, trebuie să apăsați tasta „1” și „Enter”.
Apoi va apărea următorul mesaj: „Introduceți parola de administrator”. Introduceți parola și apăsați „Enter” (dacă nu există parolă, apăsați „Enter”).
Ar trebui să apară un prompt de sistem: C:\WINDOWS>, introduceți fixmbr.

Apoi va apărea un „AVERTISMENT”.
Pentru a confirma noua intrare MBR, apăsați „y”.
Apoi va apărea notificarea „Se creează o nouă înregistrare master boot pe discul fizic\Dispozitiv\Harddisk0\Partition0”.
Și: „Noua înregistrare de pornire principală a fost creată cu succes.”

Windows Vista:

Aici situatia este mai simpla. Încărcați sistemul de operare, selectați limba și aspectul tastaturii. Apoi pe ecran va apărea „Restabiliți computerul la normal” Va apărea un meniu în care trebuie să selectați „Următorul”. Va apărea o fereastră cu parametrii sistemului restaurat, unde trebuie să faceți clic pe linia de comandă, în care trebuie să introduceți bootrec /FixMbr.
După aceasta, trebuie să așteptați finalizarea procesului; dacă totul a mers bine, va apărea un mesaj de confirmare - apăsați „Enter” și computerul va începe să repornească. Toate.

Windows 7:

Procesul de recuperare este similar cu Vista. După ce ați selectat limba și aspectul tastaturii, selectați sistemul de operare, apoi faceți clic pe „Următorul”. În fereastra nouă, selectați „Utilizați instrumente de recuperare care vă pot ajuta să rezolvați problemele la pornirea Windows”.
Toate celelalte acțiuni sunt similare cu Vista.

Windows 8 și 10:

Porniți sistemul de operare, în fereastra care apare, selectați Restore your computer>troubleshooting, unde făcând clic pe linia de comandă, introduceți bootrec /FixMbr. După finalizarea procesului, apăsați „Enter” și reporniți dispozitivul.

După ce procesul de recuperare a MBR s-a încheiat cu succes (indiferent de versiunea Windows), trebuie să scanați discul cu un antivirus.
Dacă procesul de criptare a fost pornit de un virus, puteți utiliza un software de recuperare a fișierelor, cum ar fi Rstudio. După ce le copiați pe un suport amovibil, trebuie să reinstalați sistemul.
Dacă utilizați programe de recuperare a datelor înregistrate pe sectorul de pornire, de exemplu Acronis True Image, atunci puteți fi sigur că „Petya” nu a afectat acest sector. Aceasta înseamnă că puteți readuce sistemul la starea de funcționare fără reinstalare.

Dacă găsiți o eroare, evidențiați o bucată de text și faceți clic Ctrl+Enter.

În urmă cu câteva luni, noi și alți specialiști în securitate IT am descoperit un nou malware - Petya (Win32.Trojan-Ransom.Petya.A). În sensul clasic, nu era un criptator; virusul pur și simplu a blocat accesul la anumite tipuri de fișiere și a cerut o răscumpărare. Virusul a modificat înregistrarea de pornire de pe hard disk, a repornit forțat computerul și a afișat un mesaj care arăta că „datele sunt criptate - irosește-ți banii pentru decriptare”. În general, schema standard a virușilor de criptare, cu excepția faptului că fișierele NU au fost de fapt criptate. Cele mai populare antivirusuri au început să identifice și să elimine Win32.Trojan-Ransom.Petya.A la câteva săptămâni după apariția sa. În plus, au apărut instrucțiuni pentru îndepărtarea manuală. De ce credem că Petya nu este un ransomware clasic? Acest virus face modificări în înregistrarea de pornire principală și împiedică încărcarea sistemului de operare și, de asemenea, criptează tabelul de fișiere master. Nu criptează fișierele în sine.

Cu toate acestea, un virus mai sofisticat a apărut în urmă cu câteva săptămâni Mischa, scris aparent de aceiași escroci. Acest virus CRIPTĂ fișierele și vă cere să plătiți 500 - 875 $ pentru decriptare (în diferite versiuni 1.5 - 1.8 bitcoins). Instrucțiunile pentru „decriptare” și plata pentru aceasta sunt stocate în fișierele YOUR_FILES_ARE_ENCRYPTED.HTML și YOUR_FILES_ARE_ENCRYPTED.TXT.

Virusul Mischa - conținutul fișierului YOUR_FILES_ARE_ENCRYPTED.HTML

Acum, de fapt, hackerii infectează computerele utilizatorilor cu două programe malware: Petya și Mischa. Primul are nevoie de drepturi de administrator pe sistem. Adică, dacă un utilizator refuză să acorde drepturi de administrator Petya sau șterge manual acest malware, Mischa se implică. Acest virus nu necesită drepturi de administrator, este un criptator clasic și de fapt criptează fișierele folosind algoritmul puternic AES și fără a face modificări în Master Boot Record și tabelul de fișiere de pe hard diskul victimei.

Malware-ul Mischa criptează nu numai tipurile de fișiere standard (videoclipuri, imagini, prezentări, documente), ci și fișiere .exe. Virusul nu afectează doar directoarele \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow și \Chrome.

Infecția are loc în principal prin e-mail, unde se primește o scrisoare cu un fișier atașat - programul de instalare a virusului. Acesta poate fi criptat sub o scrisoare de la Serviciul Fiscal, de la contabilul dumneavoastră, ca chitanțe atașate și chitanțe pentru cumpărături etc. Acordați atenție extensiilor de fișiere din astfel de litere - dacă este un fișier executabil (.exe), atunci cu mare probabilitate poate fi un container cu virusul Petya\Mischa. Și dacă modificarea malware-ului este recentă, este posibil ca antivirusul dvs. să nu răspundă.

Actualizare 30.06.2017: 27 iunie, o versiune modificată a virusului Petya (Petya.A) au atacat masiv utilizatorii din Ucraina. Efectul acestui atac a fost enorm, iar prejudiciul economic nu a fost încă calculat. Într-o singură zi, munca a zeci de bănci, lanțuri de retail, agenții guvernamentale și întreprinderi cu diferite forme de proprietate a fost paralizată. Virusul s-a răspândit în principal printr-o vulnerabilitate din sistemul ucrainean de raportare contabilă MeDoc cu cea mai recentă actualizare automată a acestui software. În plus, virusul a afectat țări precum Rusia, Spania, Marea Britanie, Franța și Lituania.

Eliminați virusul Petya și Mischa folosind un agent de curățare automat

O metodă extrem de eficientă de lucru cu malware în general și ransomware în special. Utilizarea unui complex de protecție dovedit garantează detectarea completă a oricăror componente virale și îndepărtarea completă a acestora cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer care o folosesc.

  1. . După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea).
  2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările detectate, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul Mischa blochează fișierele folosind un algoritm de criptare puternic, astfel încât datele criptate să nu poată fi restaurate cu un val de baghetă magică - fără a plăti o sumă de răscumpărare nemaivăzută (uneori ajungând până la 1.000 USD). Dar unele metode pot fi cu adevărat salvatoare care vă vor ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program de recuperare automată a fișierelor (decriptor)

Se cunoaște o circumstanță foarte neobișnuită. Această infecție șterge fișierele originale în formă necriptată. Procesul de criptare în scopuri de extorcare vizează astfel copii ale acestora. Acest lucru face posibilă pentru software, cum ar fi recuperarea obiectelor șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor; eficacitatea acesteia este fără îndoială.

Copii umbră ale volumelor

Abordarea se bazează pe procesul de copiere a fișierelor Windows, care se repetă la fiecare punct de recuperare. O condiție importantă pentru ca această metodă să funcționeze: funcția „System Restore” trebuie activată înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor apărea în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele fără răscumpărare. Dacă procedura de copiere de rezervă a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să lansați mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibila prezență a componentelor reziduale ale ransomware-ului Petya și Mischa

Curățarea manuală riscă să lipsească bucăți individuale de ransomware care ar putea scăpa de eliminare ca obiecte ascunse ale sistemului de operare sau elemente de registry. Pentru a elimina riscul reținerii parțiale a elementelor rău intenționate individuale, scanați-vă computerul utilizând un pachet software de securitate de încredere, specializat în software rău intenționat.

Departamentul de poliție cibernetică al Poliției Naționale a Ucrainei a publicat recomandări pentru restabilirea accesului la computerele care au fost deteriorate ca urmare.

În timpul unui studiu detaliat al malware-ului, cercetătorii au identificat trei scenarii principale pentru impactul acestuia (când este rulat ca administrator):

Sistemul este complet compromis. Recuperarea datelor necesită o cheie privată, iar la pornire apare o fereastră care vă cere să plătiți o răscumpărare pentru a obține cheia de decriptare.

Calculatoarele sunt infectate, parțial criptate, sistemul a început procesul de criptare, dar factorii externi (pentrunderea curentului electric etc.) au oprit procesul de criptare.

Calculatoarele sunt infectate, dar procesul de criptare a tabelului MFT nu a început încă.

Restaurarea accesului este posibilă doar în ultimele două cazuri, în timp ce, din păcate, nu există o modalitate eficientă de a restabili sistemele complet compromise. Specialiștii din Departamentul de Poliție Cibernetică, Serviciul de Securitate al Ucrainei, Serviciul de Comunicații Speciale de Stat al Ucrainei și companii IT interne și internaționale îl caută în mod activ.

Cercetătorii au identificat două etape principale în funcționarea programului Troian Petya modificat:

În primul rând: obținerea de drepturi privilegiate (drepturi de administrator). Pe multe computere cu arhitectură Windows (Active Directory), aceste drepturi sunt dezactivate. Virusul salvează sectorul inițial de boot pentru sistemul de operare (MBR) într-o formă criptată a unei operații XOR pe biți (xor 0x7), apoi înlocuiește sectorul de mai sus cu un bootloader modificat, restul codului troian este scris în primul sectoare ale discului. Acest pas creează un fișier text despre criptare, dar datele nu sunt încă criptate.

În al doilea rând: după repornire, începe a doua fază a funcționării virusului - criptarea datelor; acum se întoarce la sectorul său de configurare, care conține o notă că datele nu sunt încă criptate și trebuie să fie criptate. După aceasta, începe procesul de criptare, care arată ca programul Check Disk.

Dacă, la pornirea de pe discul de instalare Windows, este vizibil un tabel cu partiții de hard disk, atunci puteți începe procedura de restabilire a sectorului de boot MBR. Se realizează astfel:

Pentru sistemul de operare Windows XP:

După ce ați încărcat discul de instalare Windows XP în memoria RAM a computerului, va apărea caseta de dialog „Instalați Windows XP Professional”, care conține un meniu de selecție; trebuie să selectați elementul „pentru a restaura Windows XP folosind consola de recuperare, apăsați R”. . Apăsați „R”.

Consola de recuperare se va încărca.

Dacă computerul are un sistem de operare instalat și acesta este (în mod implicit) instalat pe unitatea C, va apărea următorul mesaj:

„1:C:\WINDOWS La ce copie de Windows ar trebui să mă conectez?”

Tastați tasta „1”, apăsați tasta „Enter”.

Va apărea un mesaj: „Introduceți parola de administrator”. Introduceți parola, apăsați „Enter” (dacă nu există parolă, doar apăsați „Enter”).

Ar trebui să vi se solicite: C:\WINDOWS> introduceți fixmbr

Va apărea apoi mesajul „AVERTISMENT”.

„Confirmați să scrieți noul MBR?” Apăsați tasta „Y”.

Va apărea un mesaj: „Se creează un nou sector de boot primar pe discul fizic \Device\Harddisk0\Partition0”.

„Noul sector de boot primar a fost creat cu succes.”

Pentru Windows Vista:

Descărcați Windows Vista. Selectați limba și aspectul tastaturii. Pe ecranul de bun venit, faceți clic pe „Restaurați computerul”. Windows Vista va edita meniul computerului.

Selectați sistemul dvs. de operare și faceți clic pe Următorul.

Când apare fereastra Opțiuni de recuperare a sistemului, faceți clic pe Command Prompt.

Când apare promptul de comandă, introduceți această comandă:

bootrec/FixMbr

Pentru Windows 7

Descărcați Windows 7.

Alege limba.

Selectați aspectul tastaturii.

Selectați sistemul dvs. de operare și faceți clic pe Următorul. Când alegeți un sistem de operare, ar trebui să bifați „Utilizați instrumente de recuperare care vă pot ajuta să rezolvați problemele la pornirea Windows”.

Pe ecranul Opțiuni de recuperare a sistemului, faceți clic pe butonul Prompt de comandă din ecranul Opțiuni de recuperare a sistemului Windows 7

Când promptul de comandă pornește cu succes, introduceți comanda:

bootrec/fixmbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 8

Descărcați Windows 8.

Pe ecranul de bun venit, faceți clic pe butonul Restaurați computerul.

Selectați Depanare.

Selectați linia de comandă..

Când se încarcă promptul de comandă, introduceți următoarele comenzi:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

Pentru Windows 10

Descărcați Windows 10.

Pe ecranul de bun venit, faceți clic pe butonul „Reparați computerul”.

Selectați „Depanare”

Selectați Command Prompt.

Când se încarcă promptul de comandă, introduceți comanda:

bootrec/FixMbr

Așteptați finalizarea operației. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.

Apăsați tasta Enter și reporniți computerul.

După procedura de recuperare a MBR, cercetătorii recomandă verificarea discului cu programe antivirus pentru fișierele infectate. De asemenea, se menționează că, în afară de datele de înregistrare furnizate de utilizatorii M.E.doc, nu au fost transmise alte informații.

(Petya.A) și a dat o serie de sfaturi.

Potrivit SBU, infectarea sistemelor de operare s-a produs în principal prin deschiderea de aplicații rău intenționate (documente Word, fișiere PDF), care au fost trimise la adresele de e-mail ale multor agenții comerciale și guvernamentale.

„Atacul, al cărui obiectiv principal a fost distribuirea codificatorului de fișiere Petya.A, a folosit vulnerabilitatea rețelei MS17-010, în urma căreia pe mașina infectată au fost instalate un set de scripturi, pe care atacatorii le-au folosit pentru a lansa criptatorul de fișiere menționat”, a spus SBU.

Virusul atacă computerele care rulează sistemul de operare Windows prin criptarea fișierelor utilizatorului, după care afișează un mesaj despre conversia fișierelor cu propunerea de a plăti cheia de decriptare în bitcoini în echivalentul a 300 USD pentru deblocarea datelor.

„Din păcate, datele criptate nu pot fi decriptate. Lucrările continuă cu privire la posibilitatea decriptării datelor criptate”, a spus SBU.

Ce trebuie să faceți pentru a vă proteja de virus

1. Dacă computerul este pornit și funcționează normal, dar bănuiți că ar putea fi infectat, nu-l reporniți sub nicio circumstanță (dacă computerul a fost deja deteriorat, nici nu îl reporniți) - virusul se declanșează la repornire și criptează toate fișierele conținute pe computer.

2. Salvați toate fișierele cele mai valoroase pe o unitate separată care nu este conectată la computer și, în mod ideal, faceți o copie de rezervă împreună cu sistemul de operare.

3. Pentru a identifica criptatorul de fișiere, trebuie să finalizați toate sarcinile locale și să verificați prezența următorului fișier: C:/Windows/perfc.dat

4. În funcție de versiunea sistemului de operare Windows, instalați patch-ul.

5. Asigurați-vă că toate sistemele informatice au instalat software antivirus care funcționează corect și utilizează baze de date actualizate cu semnături de viruși. Dacă este necesar, instalați și actualizați antivirusul.

6. Pentru a reduce riscul de infecție, ar trebui să tratați cu atenție toată corespondența electronică și să nu descărcați sau să deschideți atașamente în scrisorile trimise de la persoane necunoscute. Dacă primiți o scrisoare de la o adresă cunoscută care este suspectă, contactați expeditorul și confirmați că scrisoarea a fost trimisă.

7. Faceți copii de rezervă ale tuturor datelor critice.

Aduceți informațiile specificate angajaților diviziilor structurale și nu permiteți angajaților să lucreze cu computere care nu au instalate corecțiile specificate, indiferent dacă sunt conectați la o rețea locală sau la Internet.

Este posibil să încercați să restabiliți accesul la un computer Windows blocat de un anumit virus.

Deoarece malware-ul specificat face modificări în înregistrările MBR, motiv pentru care, în loc să încarce sistemul de operare, utilizatorului i se arată o fereastră cu text despre criptarea fișierelor. Această problemă poate fi rezolvată prin restaurarea înregistrării MBR. Există utilități speciale pentru asta. SBU a folosit utilitarul Boot-Repair pentru aceasta (instrucțiuni de la link).

b). Rulați-l și asigurați-vă că toate casetele din fereastra „Artefacte de colectat” au fost bifate.

c). În fila „Eset Log Collection Mode”, setați codul binar sursă disc.

d). Faceți clic pe butonul Colectați.

e). Trimiteți o arhivă de jurnalele.

Dacă computerul afectat este pornit și nu a fost încă oprit, continuați cu

pasul 3 pentru a colecta informații care vor ajuta la scrierea unui decodor,

punctul 4 pentru tratarea sistemului.

De pe un computer deja afectat (nu va porni), trebuie să colectați MBR-ul pentru o analiză ulterioară.

Îl puteți asambla conform următoarelor instrucțiuni:

A). Descărcați ESET SysRescue Live CD sau USB (crearea este descrisă la pasul 3)

b). Sunteți de acord cu licența de utilizare

c). Apăsați CTRL + ALT + T (terminalul se va deschide)

d). Tastați comanda „parted -l“ fără ghilimele, parametrul este litera mică „L“ și apăsați

e). Vedeți lista de unități și identificați PC-ul afectat (ar trebui să fie unul dintre /dev/sda)

f). Scrieți comanda „dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ fără ghilimele, în loc de „/dev/sda“ folosiți discul pe care l-ați definit la pasul anterior și faceți clic (Fișier/home/eset/petya.img va fi creat)

g). Conectați unitatea flash USB și copiați fișierul /home/eset/petya.img

h). Puteți opri computerul.

Vezi și - Omelyan despre protecția împotriva atacurilor cibernetice

Omelyan despre protecția împotriva atacurilor cibernetice