Кіберполіція пояснила, що робити з комп'ютером після атаки «Petya.A»

Колектив підрозділів інформаційних технологій та програмування Департаменту кіберполіції надала рекомендації для відновлення частково зашифрованих даних, що постраждали від атаки вірусу-здирника «Petya.A».

У повідомленні зазначається, що в процесі дослідження вірусу «Petya» та його шкідливу дію на комп’ютери користувачів, виявлено декілька варіантів його втручання.

Система повністю скомпрометована. Комп’ютери заражені і зашифровані. Відновлення вмісту вимагає знання закритого ключа. На екрані комп’ютерів виводиться вікно з повідомленням про вимогу сплати коштів для отримання ключа розблокування файлів.

Другий: комп’ютери заражені, частково зашифровані. Система розпочала процес шифрування, але зовнішні фактори (напр.: вимкнення живлення і т.д.) припинили процес шифрування.

Варіант третій - комп’ютери заражені, але при цьому процес шифрування таблиці MFT ще не розпочався.

Читайте також: Важливо! Кібератака у Кривому Розі

Що стосується першого варіанту - нажаль, на теперішній час поки не встановлено способу, який гарантовано проводить розшифрування даних. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.

У тойже час, у двох останніх випадках є шанс відновити інформацію, яка знаходиться у комп’ютері, оскільки таблиця розмітки MFT не порушена або порушена частково. Це значить, що відновивши завантажувальний сектор MBR системи, машина запускається і може працювати.

Вірус зберігає оригінальний завантажувальний сектор для операційної системи (MBR) в зашифрованому вигляді бітової операції XOR (xor 0x7), а потім записує свій завантажувач на місце вищевказаного сектору, решта коду трояна записується в перші сектора диска.

На цьому етапі створюється текстовий файл про шифрування, але насправді дані ще не зашифровані. Проте, це лише підготовка до шифрування диску і воно почнеться тільки після перезапуску системи.

Читайте також: Вірус-вимагач захопив Україну. Кривий Ріг у списку інфікованих

Після перезавантаження настає друга фаза роботи вірусу, він звертається вже на свій конфігураційний сектор в якому встановлений флаг, що данні ще не зашифровані та їх потрібно зашифрувати, та починається процес шифрування, який має вигляд роботи програми Check Disk.

Далі наведено рекомендації, щодо поновлення доступу до враженої вірусом операційної системи.

У кіберполіції порекомeндували провести певні дії для перевірки та відновлення зашифрованої інформації:

-завантажитись з інсталяційного диску Windows Вашого ПК;

-після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;

-провести процедури відновлення MBR.


Вказані дії актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування.

В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.

На додаток: якщо Ви використовуєте програми відновлення даних, яка записує свій завантажувальний сектор (накшталт Acronis True Image), то вірус цей розділ не чіпає і можна повернути робочий стан системи на дату контрольної точки.

Слід зауважити, що на окрім реєстраційних даних, які вказувались користувачами програми «M.E.doc», ніякої інформації не передавалось.