Киберполиция Украины опубликовала советы, как восстановить частично зашифрованные данные на компьютере после поражения ОС вирусом Petya.

При этом в полиции отмечают, что полностью зараженные и зашифрованные компьютеры пока не знают как восстановить.  

Возобновить данные можно в двух случаях: система начала процесс шифрования, но внешние факторы (например, отключение питания и т.д.) прекратили процесс шифрования и компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался.

В полиции пояснили, что вирус поражает систему в два этапа:

- получение права администратора, когда вирус сохраняет оригинальный загрузочный сектор для операционной системы (MBR) в зашифрованном виде битовой операции, а затем записывает свой загрузчик на место вышеуказанного сектора. На этом этапе создается текстовый файл о шифровании, но на самом деле данные еще не зашифрованы. Это лишь подготовка к шифрованию диска и оно начнется только после перезапуска системы.

- после перезагрузки наступает вторая фаза работы вируса, он обращается уже на свой конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования.

Чтобы восстановить частично зашифрованные данные в полиции рекомендуют загрузить инсталляционный диск Windows и после загрузки, если жесткие диски не зашифрованные, загрузочная операционная система увидит их и можно начинать восстановление.

Для Windows XP в меню выбора установки нужно выбрать "чтобы восстановить Windows XP при помощи консоли для восстановления, нажмите R" и нажать клавишу. 

Для Windows Vista нужно выбрать пункт "Восстановить работоспособность компьютера" и в окне параметров ввести команду bootrec /FixMbr. 

Такая же команда работает на Windows 7, Windows 8 и Windows 10. 

После восстановления нужно проверить диск антивирусными программами.

Напомним, что вирус Petya разработали в агентстве национальной безопасности (АНБ, американская спецслужба) США, откуда его похитили хакеры. Об этом пишет New York Times.

Как сообщала "Страна", в СБУ объявили о причастности российских спецслужб к кибертатаке вирусом-вымогателем Petya.

Подписывайся на рассылку новостей Страны на канале Telegram. Узнавай первым самые важные и интересные новости!