В Киберполиции поведали, как восстановить ОС после атаки вируса Petya.A
В случае ежели компьютер оказался заражен новым вирусом Petya.A, восстановить потерянные файлы не получится.
В первом варианте рассматривается случай, когда компьютеры заражены и зашифрованы (система на 100% скомпрометирована).
Кибератака с применением вируса NotPetya не имела собственной целью получение денежных средств, считают в Лаборатории Касперского.
Во втором случае компьютеры заражены, частично зашифрованы.
Подчеркивается, что при полной зашифровке файлов для восстановления требуется знание закрытого ключа. Хакеры добивались выкуп от пользователей зараженных компьютеров, чтобы разблокировать личные данные, однако на этот раз вирус не шифровал их — он просто стирал жесткий диск целиком, не оставляя возможности спасти информацию.
В случае, ежели компьютеры заражены, частично зашифрованы, система начала процесс шифрования, однако внешние факторы (отключение питания и т. д.) закончили процесс шифрования, либо ежели процесс шифрования еще не начался, то существует шанс восстановить информацию, «так как таблица разметки MFT не нарушена либо нарушена частично, а это значит, что восстановив загрузочный сектор MBR системы, машина запускается и может работать».
В инструкции отмечается, что восстановить ОС можно только в тех случаях, когда жесткий диск ПК еще не был зашифрован окончательно и его Master File Table не успела запортиться. Вначале вирус удерживает уникальный загрузочный сектор для ОС MBR в зашифрованном виде битовой операции XOR (xor 0×7), после этого записывает на его место собственный загрузчик. На этом этапе создается текстовый файл о шифровании, однако в действительности данные еще не зашифрованы.
Рекомендации приведены для ОС Windows XР, Windows Vista, Windows 7, Windows 8, Windows 10.
2-ой: после перезагрузки наступает вторая фаза работы вируса, он обращается уже на собственный конфигурационный сектор в котором установлен флаг, что данные еще не зашифрованы и их нужно зашифровать, и начинается процесс шифрования, который имеет вид работы программы Check Disk.