Instrucțiunea de restabilire a accesului la sistemul de operare, care a fost parțial afectată de programul troian modificat Petya, a fost pregătit de Cyberpolicy din Ucraina.
În procesul de investigare a virusului și a efectului său dăunător asupra computerelor utilizatorilor, s-au descoperit câteva variante ale intervenției sale (în cazul în care virusul este acordat dreptului administratorului la lansare):
- Computerele sunt infectate și criptate (sistemul este complet compromis). Recuperarea necesită cunoașterea cheii private. Pe ecranul computerului, apare o fereastră care vă informează despre o cerere de plată a fondurilor pentru a obține cheia de deblocare a fișierelor.
- Computerele sunt infectate, parțial criptate. Sistemul a declanșat procesul de criptare, dar factorii externi (de exemplu, oprirea alimentării etc.) au oprit procesul de criptare.
- Computerele sunt infectate. dar procesul de criptare a tabelului MFT nu a început încă.
Așa cum spune poliția, în ceea ce privește primul scenariu - în prezent nu există nicio modalitate care să garanteze decriptarea datelor. Decizia acestei probleme se desfășoară în comun de către specialiștii Departamentului de Poliție Cyber, SBU, GSSSZI, companii ucrainene și internaționale din domeniul IT.
În același timp, au o șansă de a recupera informațiile care se află în ultimele două cazuri, pe un computer, deoarece aspectul de masă MFT nu este rupt sau o parte rupt, ceea ce înseamnă că, prin restabilirea sectorul de boot MBR-ul sistemului, masina este pornit și poate funcționa.
Următoarele sunt recomandări pentru reluarea accesului la virusul OS afectat (cu condiția ca procesul de criptare a fost pornit, dar factorii externi (de exemplu, pană de curent, etc.), a opri procesul de criptare sau procesul de criptare nu a început încă din cauza unor factori care nu depinde de utilizator (de exemplu, eșecul virusului, reacția software anti-virus, etc.).
- descărcați sistemul de pe discul de instalare Windows al calculatorului;
- după încărcare, dacă hard disk-urile nu sunt criptate, sistemul de operare de boot va vedea și puteți porni procesul de recuperare MBR;
- efectuați procedura de recuperare a MBR (după cum este descris mai jos);
După ce discul de instalare Windows XP este încărcat în memoria RAM a calculatorului, va apărea caseta de dialog "Windows XP Setup" care conține meniul de selecție. Apoi selectați "Pentru a restabili Windows XP utilizând Consola de recuperare, apăsați R". [R = Restaurare]. Apăsați R.
Se încarcă consola de recuperare. Dacă un sistem de operare este instalat pe PC și este instalat (în mod implicit) pe unitatea C, va apărea următorul mesaj:
"1: C: WINDOWS La ce copie de Windows ar trebui să mă loghez?"
Apăsați pe 1, apoi pe Enter. Veți vedea mesajul: "Introduceți parola de administrator". Introduceți parola, apăsați tasta Enter (dacă nu există nici o parolă, apăsați Enter).
Ar trebui să vedeți promptul de sistem: C: WINDOWS>, tip fixmbr
Apare mesajul "AVERTISMENT". "Confirmați înregistrarea noului MBR?". Apăsați tasta "y".
Va apărea un mesaj: "O nouă înregistrare de boot master este scrisă pe dispozitivul fizic Harddisk0 Partition0". "Noua înregistrare de boot master a fost făcută cu succes."
Pentru Windows Vista:
Descărcați Windows Vista. Selectați limba și aspectul tastaturii. În ecranul de întâmpinare, faceți clic pe Restaurare computer. Windows Vista va edita meniul computerului.
Selectați sistemul de operare și faceți clic pe Următorul. Când apare fereastra "Opțiuni de restabilire a sistemului", faceți clic pe linia de comandă.
Când apare promptul de comandă, tastați această comandă: bootrec / FixMbr
Așteptați până când operația este finalizată. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare. Apăsați Enter și reporniți computerul.
Descărcați Windows 7. Alegeți o limbă. Selectați aspectul tastaturii. Faceți clic pe butonul "Următorul". Selectați sistemul de operare și faceți clic pe Următorul. Atunci când alegeți un sistem de operare, trebuie să bifați "Utilizați instrumentele de recuperare care pot ajuta la rezolvarea problemelor cu pornirea Windows".
În ecranul Opțiuni de recuperare sistem, faceți clic pe butonul Command Prompt din ecranul Opțiuni de recuperare sistem Windows 7.
Când linia de comandă se încarcă cu succes, introduceți comanda:
Așteptați până când operația este finalizată. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare. Apăsați Enter și reporniți computerul.
Descărcați Windows 8. În ecranul de întâmpinare, faceți clic pe butonul Restaurare computer. Windows 8 va restaura meniul computerului. Alegeți "Depanarea"
Selectați linia de comandă. Când se încarcă linia de comandă, tastați următoarele comenzi:
Așteptați până când operația este finalizată. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare. Apăsați Enter și reporniți computerul.
Descărcați Windows 10. În ecranul de întâmpinare, faceți clic pe butonul Restaurare computer. Alegeți Depanarea. Selectați linia de comandă.
După încărcarea liniei de comandă, lansați comanda:
Așteptați până când operația este finalizată. Dacă totul are succes, pe ecran va apărea un mesaj de confirmare.
Apăsați Enter și reporniți computerul.
După aceste proceduri
După procedura de recuperare MBR, trebuie să verificați discul pentru programele antivirus pentru fișierele cu un troian.
Aceste acțiuni sunt, de asemenea, relevante dacă procesul de criptare a fost pornit, dar nu a fost finalizat, iar utilizatorul a deconectat PC-ul de la sursa de alimentare în procesele inițiale de criptare. În acest caz, după instalarea sistemului de operare, trebuie să utilizați software-ul de recuperare a fișierelor (pot RStudio), apoi să le copiați pe un suport extern și să reinstalați sistemul.
În plus, dacă utilizați programe de recuperare a datelor care scriu sectorul de boot (cum ar fi Acronis True Image), virusul nu atinge această secțiune și puteți reveni la starea de funcționare a sistemului la data punctului de control.
Articole similare
Trimiteți-le prietenilor: