![]() ![]() ![]() ![]() влажность: давление: ветер: |
![]() НовостиRSSКак "оживить" компьютер после атаки Petya.A - киберполиция![]()
3 июля 2017 г.
Киберполиция дала рекомендации для восстановления частично зашифрованных данных, пострадавших от атаки вируса-вымогателя Petya.A.
Они обнародованы на сайте ведомства - Укрінформ. Как отмечается, во время исследования вируса выявлены три варианта его вмешательства. Первый: компьютеры заражены и зашифрованы (система полностью скомпрометирована). Восстановление содержимого требует знания закрытого ключа. На экране компьютеров выводится окно с сообщением о требовании уплаты средств для получения ключа разблокирования файлов.
Второй: компьютеры заражены, частично зашифрованы. Система начала процесс шифровки, но внешние факторы (напр., выключение питания и т.п.) прекратили процесс шифровки. И третий: компьютеры заражены, но при этом процесс шифровки таблицы MFT еще не начался. Что касается первого варианта, то специалистам не удалось пока установить способ, который гарантированно проводит расшифровку данных. Над решением этого вопроса работают специалисты Департамента киберполиции, СБУ, ГССИЗИ, отечественных и международных ІТ-компаний. Однако в двух последних случаях есть шанс возобновить информацию, поскольку таблица разметки MFT не нарушена или нарушена частично, а это означает, что, возобновив загрузочный сектор MBR системы, машина запускается и может работать.
В таком случае необходимо сначала загрузиться с инсталляционного диска Windows для ПК. После этого, если жесткие диски не зашифрованы, то загрузочная операционная система увидит их и можно начинать процесс возобновления MBR (рекомендации, как это сделать, для разных версий ОС Windows приводятся на сайте киберполиции). После процедуры возобновления MBR нужно проверить диск антивирусными программами на наличие зараженных файлов. Как отметили в киберполиции, эти действия также актуальны, если процесс шифровки был начат, но не закончен, и пользователь отключил компьютер от питания на начальных процессах шифровки. В таком случае после загрузки ОС нужно воспользоваться программным обеспечением по возобновлению файлов (наподобие RStudio), после чего скопировать их на внешний носитель и переустановить систему. Если же используется программа возобновления данных, которая записывает свой загрузочный сектор (наподобие Acronis True Image), то вирус этот раздел не трогает и можно вернуть рабочее состояние системы на дату контрольной точки, отметили в ведомстве. "Следует отметить, что на кроме регистрационных данных, которые указывались пользователями программы "M.E.doc", никакая информация не передавалась", - подчеркнули в киберполиции. Как сообщалось, 27 июня хакеры атаковали внутренние системы ряда украинских банков, энергетических и транспортных компаний, а также органов власти, заразив компьютеры вирусом-вымогателем Petya.A. Компания Microsoft заявила, что причиной массовых кибератак против Украины стала программа для отчетности и документооборота M.E.doc. СБУ установила причастность спецслужб России к хакерской атаке. Ранее сообщалось, что в Национальную полицию Украины поступило более 2,1 тыс. сообщений об инфицировании компьютерных сетей вирусом-шифровальщиком. другие новости
|
![]() |