Киберполиция рассказала, как вернуть доступ к компьютерам после атаки вируса Petya

5505

Центральной новостью прошлой недели стала масштабная атака вируса-блокировщик на компьютерные сети украинских компаний. Специалисты по безопасности уже неделю разбираются, как можно восстановить доступ к сетям, зараженным вирусом. В Киберполиции опубликовали рекомендации о восстановлении доступа. К сожалению, они касаются только тех случаев, когда система была заражена частично

В ведомстве уточняют, что эти рекомендации пригодятся в случаях, когда компьютеры были заражены и частично зашифрованы (например, пользователь успел выключить компьютер), а также в случаях, когда компьютеры заражены, но процесс шифрования таблицы MFT (master file table) не начался. Фактически — это рекомендации по восстановлению MBR (master boot record) в случае, если шифрование не началось или было прервано. Если компьютеры были полностью зашифрованы, а на экране появилось сообщение с требованием денег — эти советы не помогут. 

В Киберполиции рекомендуют в этом случае загрузиться с установочного диска Windows и после загрузки, если жесткие диски не зашифрованы и ОС их видит, — приступить к процессу восстановления MBR.

Для Windows XР:

После загрузки установочного диска Windows XP в оперативную память появится диалоговое окно «Установка Windows XP Professional», в котором нужно выбрать пункт «чтобы восстановить Windows XP с помощью консоли восстановления, нажмите R».

После нажатия загрузится консоль восстановления. Если на компьютере установлена одна операционная система и она по умолчанию стоит на диске С, появится сообщение «1: C: \ WINDOWS В какую копию Windows выполнить вход?». Нужно будет ввести «1» и нажать Enter. Появится требование ввести пароль администратора (если пароля нет, можно просто нажать Enter. Затем нужно ввести команду fixmbr.

Появится сообщение «Предупреждение». «Подтверждаете ли запись новой MBR?», нужно нажать «y». Появится сообщение: «Прводится новая основная загрузочная запись на физический диск \ Device \ Harddisk0 \ Partition0.». «Новая основная загрузочная запись успешно создана». 

Для Windows Vista:

Сценарий похожий, но проще. Нужно загрузить систему, выбрать язык и раскладку. На экране приветствия нужно выбрать «Восстановить работоспособность компьютера», выбрать операционную систему и нажать «Далее». Когда появится окно «Параметры восстановления системы», нужно нажать на командную строку. В командной строке ввести команду bootrec /FixMbr. После завершения операции, если на экране появилось сообщение о подтверждении, нужно нажать Enter и перезагрузиться. 

Для Windows 7:

Алгоритм для Windows 7 аналогичен предыдущему, после выбора языка и раскладки — нажать «Далее», выбрать ОС, нажать «Далее», во время выбора ОС нужно выбрать пункт «Использовать инструменты для восстановления, которые могут помочь решить проблемы с запуском Windows».

Дальше — действия, аналогичные действиям в случае Windows Vista.

Для Windows 8 и 10:

Нужно загрузить Windows 8, на экране приветствия нажать «Восстановить компьютер», выбрать пункт «Устранение неисправностей», выбрать командную строку, ввести команду bootrec /FixMbr. Затем — подождать окончания операции, нажать Enter и перезагрузить компьютер. Аналогичные действия рекомендуются также для Windows 10. 

В ведомстве отмечают, что после успешного восстановления MBR нужно проверить диск антивирусом. Если процесс шифрования уже начался (в случае с Petya он маскируется под Check Disk), но пользователь успел отключить компьютер, можно воспользоваться софтом по восстановлению файлов (например, RStudio), после чего скопировать их на другой носитель и переустановить систему. Если используются программы восстановления данных, которые записывают свой загрузочный сектор (например, Acronis True Image), вирус этот раздел не трогает, и можно вернуть систему в рабочее состояние на дату контрольной точки. 

Напомним, ранее появилась информация, что всего в стране вирус успел заблокировать данные на более чем 12 тысяч компьютерах.

Оставить комментарий

Комментарии | 0

Поиск