Як вилікуватися від вірусу-шифрувальника?
1. Коли користувач бачить синій екран смерті, його дані ще не зашифровані, тобто «Петя» ще не дістався до головної таблиці файлів. Якщо ви бачите, що комп'ютер показує вам синій екран, перезавантажується і запускає Check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп'ютера (тільки не в якості завантажувального тому!) І скопіювати свої файли.
2. «Петя» шифрує тільки таблицю, не чіпаючи самі файли. Фахівці з відновлення даних можуть їх повернути. Це тривала і дорога процедура, але цілком реальна. Та годі здійснити її самостійно - через випадкову помилку ваші файли можуть зникнути назавжди.
3. Щоб видалити вірус, вам необхідно завантажити зі здорового комп'ютера завантажувальний диск з антивірусом, який здатний вилікувати комп'ютер від «Петі». Це вміють наприклад ESET NOD32 LiveCD або Kaspersky Rescue Disk.
Після завантаження, за інструкцією запишіть завантажувальний диск на флешку і завантажте комп'ютер з нього. Далі антивірус все зробить сам.
Для відновлення файлів можна використовувати декріптор, а також утиліту Shadow Explorer (поверне тіньові копії файлів і початковий стан зашифрованих файлів) або Stellar Phoenix Windows Data Recovery. Для жителів країн колишнього СРСР є безкоштовне (для некомерційного використання) рішення R.saver від російськомовних розробників.
Ці способи не гарантують повного відновлення файлів.
Є і більш складний спосіб, проте користуватися ним стоїть на свій страх і ризик.
Щоб зняти інформацію з пошкоджених дисків, можна скористатися інструментом Petya Sector Extractor для вилучення необхідної інформації з диска.
Після того як користувач підключить зашифрований диск з зараженого комп'ютера до іншого ПК, потрібно запустити інструмент Fabric Wosar's Petya Sector Extractor, який виявить уражені шифрувальником області.
Після заповнення обох полів користувач може натискати Submit і запускати роботу алгоритму.
Сайт повинен надати пароль для розшифровки даних, після чого потрібно повернути жорсткий диск в постраждалий комп'ютер, запустити систему і ввести отриманий код у вікні вимагача. В результаті інформація буде розшифрована.
Після того, як жорсткий диск буде дешифрований, програма ransomware запропонує вам перезавантажити комп'ютер, і тепер він повинен нормально завантажуватися.