Кіберполіція надала інструкції з відновлення доступу до ОС після зараження вірусом Petya
Кіберполіція надала інструкції з відновлення доступу до ОС після зараження вірусом Petya
На сайті Кіберполіції зазначено, що вони поки що не знають, як повністю відновити зашифровані комп’ютери. Вирішенням цього питання спільно займаються спеціалісти Департаменту кіберполіції, СБУ, ДССТЗІ, вітчизняних та міжнародних ІТ компаній.
Для перевірки та відновлення зашифрованої інформації Кіберполіція рекомендує провести наступні дії:
-завантажитись з інсталяційного диску Windows Вашого ПК;
-після завантаження, якщо жорсткі диски не зашифровані, то завантажувальна операційна система побачить їх можна приступити до процесу відновлення MBR;
-провести процедури відновлення MBR:
Для Windows XР:
Після завантаження інсталяційного диску Windows XP в оперативну пам'ять ПК, з'явиться діалогове вікно «Установка Windows XP Professional», що містить меню вибору, необхідно вибрати пункт «щоб відновити Windows XP за допомогою консолі відновлення, натисніть R». [R = Відновити].
Натисніть клавішу «R».
Завантажиться консоль відновлення. Якщо на ПК встановлена одна ОС, і вона (за замовчуванням) встановлена на диску C, з'явиться наступне повідомлення: «1: C: WINDOWS У яку копію Windows слід виконати вхід?». Введіть клавішу «1», натисніть клавішу «Enter».
З'явиться повідомлення: «Введіть пароль адміністратора». Введіть пароль, натисніть клавішу «Enter» (якщо пароля немає, просто натисніть «Enter»). Повинно з'явитись запрошення системи: C: WINDOWS> , введіть fixmbr
З'явиться повідомлення: «Попередження».
«Чи підтверджуєте запис нової MBR?», натисніть клавішу «y».
З'явиться повідомлення: «Проводиться новий основний завантажувальний запис на фізичний диск Device Harddisk0 Partition0.»
«Новий основний завантажувальний запис успішно зроблений».
Для Windows Vista:
Завантажте Windows Vista. Виберіть мову та розкладку клавіатури. На екрані привітання натисніть «Відновити працездатність комп'ютера». Windows Vista відредагує комп'ютерне меню.
Виберіть операційну систему та натисніть кнопку «Далі». Коли з'явиться вікно «Параметри відновлення системи», натисніть на командний рядок. Коли з'явиться командний рядок, введіть цю команду: bootrec /FixMbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть клавішу «Enter» і перезавантажте комп'ютер.
Для Windows 7
Завантажте Windows 7. Виберіть мову. Виберіть розкладку клавіатури. Натисніть кнопку «Далі».
Виберіть операційну систему та натисніть кнопку «Далі». Під час вибору операційної системи слід перевірити "Використовувати інструменти для відновлення, які можуть допомогти вирішити проблеми із запуском Windows".
На екрані "Параметри відновлення системи" натисніть кнопку "Командний рядок" на екрані "Параметри відновлення системи Windows 7"
Коли командний рядок успішно завантажується, введіть команду: bootrec /fixmbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть клавішу «Enter» і перезавантажте комп'ютер.
Для Windows 8
Завантажте Windows 8. На екрані "Вітання" натисніть кнопку "Відновити комп'ютер". Windows 8 відновить комп'ютерне меню. Виберіть "Усунення несправностей". Виберіть командний рядок.
Коли завантажується командний рядок, введіть такі команди: bootrec /FixMbr
Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження.
Натисніть клавішу «Enter» і перезавантажте комп'ютер.
Для Windows 10
Завантажте Windows 10. На екрані привітання натисніть кнопку «Відновити комп'ютер». Виберіть "Усунення несправностей". Виберіть командний рядок.
Коли завантажується командний рядок, введіть команду: bootrec /FixMbr. Зачекайте, поки операція закінчиться. Якщо все було успішно, на екрані з'явиться повідомлення про підтвердження. Натисніть клавішу «Enter» і перезавантажте комп'ютер
- після процедури відновлення MBR, потрібно перевірити диск антивірусними програмами на наявність файлів з трояном.
На сайті Кіберполіції зазначено, що вказані дії також актуальні, якщо процес шифрування було розпочато, але не закінчено і користувач відключив від живлення на початкових процесах шифрування. В даному випадку, після завантаження ОС, треба скористатись програмним забезпеченням по відновленню файлів (накшталт RStudio), після чого скопіювати їх на зовнішній носій та перевстановити систему.
Нагадаємо, днями СБУ надала рекомендації щодо захисту комп’ютерів від віруса Petya.
Нагадаємо, за фактом масштабної кібератаки на українські державні установи та компанії , яка сталася 27 червня, відкрито справу за статтею «втручання в роботу комп'ютерів і комп'ютерних мереж».
Народний депутат України Антон Геращенко заявив, що кібератаку під видом вірусу-здирника було організовано спецслужбами РФ. Секретар Ради національної безпеки і оборони України Олександр Турчинов також заявив про «російський слід» кібератаки.
Прем’єр-міністр України Володимир Гройсман назвав кібератаку на українські державні органи і компанії «безпрецедентною».
З 27 червня до Національної поліції України з повідомленнями про блокування роботи комп'ютерної техніки вірусом-шифрувальником звернулися 1508 юридичних та фізичних осіб.
Нині СБУ бореться з вірусом Petya спільно з FBI, NCA та кібербезпековими інституціями. Крім того започаткована Україною і НАТО спільна платформа у протидії гібридній війні.
Як повідомляв «Детектор медіа», секретар РНБОУ Олександр Турчинов заявив, що одним із механізмів поширення комп’ютерного вірусу Petya була система оновлення ПЗ бухгалтерської звітності і документообігу. Також він зазначив, що «активно використовувались системи «сірого інтернету», зокрема, можливості VPN, ТОR тощо, які активно рекламуються на російських ресурсах, доступ до яких було заборонено рішенням РНБО».
Турчинов наголосив, що багато державних установ зазнали пошкоджень через те, що системно не виконували рішення РНБО і доручення Національного координаційного центру кібербезпеки.
Фото: znaj.ua