Киберполиция опубликовала инструкцию по восстановлению доступа к операционной системе для пользователей, компьютеры которых подверглись атаке вируса «Petya.A», говорится в сообщении департамента киберполиции НПУ.
По словам экспертов, шанс восстановить информацию в компьютере есть в двух случаях.
«В процессе исследования вируса «Petya» и его повреждающего действия на компьютеры выявлено несколько вариантов его вмешательства. Первый — компьютеры заражены и зашифрованы (система полностью скомпрометирована), восстановление содержания требует знания закрытого ключа. Второй — компьютеры заражены, частично зашифрованы, система начала процесс шифрования, но внешние факторы прекратили процесс шифрования. Третий — компьютеры заражены, но при этом процесс шифрования таблицы MFT еще не начался», — говорится в сообщении.
Отмечается, что в случае первого сценария пока не установлен способ, который гарантированно проводит расшифровку данных. Решением этого вопроса совместно занимаются специалисты Департамента киберполиции, СБУ, ДССТЗИ, отечественных и международных ІТ-компаний.
«В то же время, в двух последних случаях есть шанс восстановить информацию, находящуюся в компьютере, поскольку таблица разметки MFT не нарушена или нарушена частично, а это значит, что, восстановив загрузочный сектор MBR системы, машина запускается и может работать», – подчеркнули в киберполиции.
Эксперты Киберполиции разработали детальные рекомендации для восстановления доступа к пораженной вирусом операционной системе при условии, если процесс шифрования выполняется, но внешние факторы (например отключение питания и т. п) прекратили процесс шифрования; или если процесс шифрования таблицы MFT еще не начался из-за факторов, не зависящих от пользователя (сбой в работе вируса, реакция антивирусного ПО на действия вируса и тому подобное).
Напомним, глобальная атака вируса-вымогателя во вторник поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов. Об ограничении при оказании ряда услуг из-за хакерских атак заявил и ряд украинских банков.
Согласно первым сообщениям, активированный во вторник злоумышленниками вирус-шифровальщик был отнесен к уже известному семейству вымогателей Petya, однако позднее выяснилось, что речь идет о новом семействе вредоносного ПО с существенно отличающейся функциональностью. «Лаборатория Касперского» окрестила новый вирус ExPetr.