- Быстрая навигация: восстановление зашифрованных и удаленных программами-вымогателями файлов
- Обзор программ-вымогателей
- Используйте профессиональное программное обеспечение для восстановления данных после вирусных атак.
- Попробуйте программу для восстановления данных EaseUS
- Восстановление из резервной копии системы
- PowerShell скрипт для создания теневых снимков всех томов
- Восстановление из предыдущих версий
- Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO
- Задание планировщика по созданию VSS-снимков
Быстрая навигация: восстановление зашифрованных и удаленных программами-вымогателями файлов
Существует множество решений для восстановления зашифрованных файлов после атак программ-вымогателей. Мы подобрали для вас несколько простых в реализации способов. Читай дальше, чтобы узнать больше.
| Рабочие решения | Пошаговое устранение неполадок |
| 1. Используйте программное обеспечение для восстановления данных. | Запустите программу восстановления вирусных файлов EaseUS на… Все шаги |
| 2. Восстановление из резервной копии системы. | Зайдите в Панель управления, нажмите Система и безопасность… Все шаги |
| 3. Восстановление из предыдущих версий. | Найдите каталог, в котором хранятся данные. Щелкните файл правой кнопкой мыши… Все шаги |
| 4. Запустите инструмент расшифровки программ-вымогателей. | 4. Запустите инструмент расшифровки программ-вымогателей… Все шаги |
Обзор программ-вымогателей
Вирус-вымогатель — это новый и усовершенствованный тип компьютерного вируса, который в основном распространяется через почту, программные трояны и веб-сайты. Вирус страшен и чрезвычайно вреден. Он использует различные алгоритмы шифрования для заражения, удаления и шифрования файлов.
Программы-вымогатели передают данные тремя основными способами: через уязвимости, по электронной почте и через рекламу. Когда ваш компьютер и любое другое запоминающее устройство заражены вирусом-вымогателем, таким как пресловутый Locky, Zcrypt, CryptoLocker, CryptWall, TorrentLocker и т д., вы не сможете получить доступ к зараженным файлам или системе, пока не заплатите выкуп.
Мы советуем вам не платить выкуп. Кроме того, даже если вы произвели оплату, ваши данные могут быть повреждены, и вы можете столкнуться с большим риском потери данных. Поэтому после заражения вы можете попробовать несколько способов быстрого восстановления файлов, зашифрованных программой-вымогателем. В следующих разделах мы покажем вам некоторые практические способы восстановления данных.
Используйте профессиональное программное обеспечение для восстановления данных после вирусных атак.
Перед восстановлением данных вам может потребоваться изучить рабочий процесс большинства программ-вымогателей.
Как видно из рисунка, файлы шифрования, созданные программой-вымогателем, являются не оригинальными файлами, а просто копиями. Исходные файлы не шифруются напрямую, а удаляются вирусом. Таким образом, вы можете использовать инструмент восстановления данных, чтобы вернуть исходные удаленные файлы. Пока программа восстановления данных находит удаленные исходные файлы, восстановление возможно.
Попробуйте EaseUS Data Recovery Wizard в качестве первой попытки. Это надежное программное обеспечение для восстановления файлов, которое может восстанавливать файлы, зараженные вирусом Locky, CryptoLocker и другими вирусами-вымогателями.
Попробуйте программу для восстановления данных EaseUS
- Эффективно восстанавливайте потерянные или удаленные файлы, документы, фотографии, аудио, музыку, электронную почту
- Восстановление файлов с отформатированного жесткого диска, пустой корзины, карты памяти, флэш-накопителя, цифровой камеры и видеокамеры
- Поддерживает восстановление данных после внезапного удаления, форматирования, повреждения жесткого диска, вирусной атаки, сбоя системы в различных ситуациях
Шаг 1. Запустите программу EaseUS для восстановления данных жесткого диска.
Запустите мастер восстановления данных EaseUS и выберите диск, на котором вы случайно потеряли или удалили файлы.
Нажмите «Сканировать», чтобы начать поиск всех потерянных данных и файлов.
Шаг 2: Дождитесь завершения сканирования.
Программа от EaseUS полностью просканирует указанный диск и предоставит вам всю утерянную информацию (включая скрытые файлы).
Шаг 3. Просмотрите список найденных файлов и восстановите нужные.
После предварительного просмотра выберите нужные вам файлы, которые были потеряны на диске, и нажмите кнопку «Восстановить», чтобы сохранить их в безопасном месте на вашем компьютере или другом внешнем запоминающем устройстве.»
Программы-вымогатели постоянно меняются. Некоторые новые и более совершенные вирусы могут работать не так, как показано выше. Они могут не удалить исходный файл, поэтому программное обеспечение для восстановления данных не поможет. Однако мы настоятельно рекомендуем вам использовать инструмент восстановления файлов для восстановления зараженных данных. Хотя мы не можем определить точный тип вируса, мы должны вовремя восстановить данные всеми доступными способами.
Восстановление из резервной копии системы
Если программа восстановления данных не работает и вы сделали резервную копию своей системы, вы можете попытаться восстановить зараженные вирусом файлы с помощью резервной копии Windows. Таким образом, вы сможете восстановить данные даже в худшем случае. Таким образом, настройка автоматического резервного копирования Windows — полезный способ предотвратить потерю данных.
Перейдите в Панель управления, нажмите «Система и безопасность» > «Резервное копирование и восстановление» > «Восстановить файлы из резервной копии». На экране «Резервное копирование и восстановление» нажмите «Восстановить мои файлы» и следуйте указаниям мастера, чтобы восстановить файлы.
Читайте также: Как установить Денвер на Windows 10 x64: пошаговая инструкция для начинающих
PowerShell скрипт для создания теневых снимков всех томов
Далее нам понадобится скрипт, который определяет список дисков в системе, включает для всех теневые образы и создает новый снимок VSS. В итоге я получил этот скрипт:
$HDDs = GET-WMIOBJECT – запрос «ВЫБРАТЬ * из win32_логического диска, где DriveType = 3″
foreach ($HDD в $HDD) {
$Drive = $HDD.DeviceID
$vssadminEnable =»vssadmin.exe Изменить размер ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%»
$vsscreatess = «vshadow.exe -p $Drive»
cmd /c $vssadminEnable
cmd /c $vsscreatess
}
Первый термин позволяет найти все диски в системе, причем для каждого диска инструмент vshadow активирует обслуживание теневых копий, которые не должны занимать более 10% пространства, и создает новую копию.
Мы сохраним этот скрипт в файл vss-script.ps1, а также скопируем его на компьютеры пользователей через GPO.
Восстановление из предыдущих версий
Предыдущая версия файла также может помочь вам восстановить зашифрованные файлы от программы-вымогателя.
1. Найдите каталог, в котором хранятся данные. Щелкните файл правой кнопкой мыши и выберите «Свойства».
2. Перейдите на вкладку «Предыдущие версии», когда откроется окно «Свойства».
Примечание. Если вы не видите вкладку «Предыдущие версии», вам необходимо установить клиент. Вы можете обратиться в службу поддержки, чтобы установить правильный клиент.
3. Появится список доступных снимков для файла. Выберите снимок, представляющий последнюю известную версию файла.
4. Нажмите «Просмотр» и убедитесь, что это правильная версия файла. Найдя нужный файл, выполните одно из следующих действий:
- Предварительный просмотр: просмотрите восстановленный файл напрямую и сохраните его, нажав «Файл» > «Сохранить как».
- Копировать: сделайте копию восстановленного файла в том же каталоге, что и исходный файл. Теперь у вас будут доступны обе копии.
- Восстановить: это восстановит восстановленный файл и заменит текущий файл.
Важно: При восстановлении файла текущая копия будет перезаписана. Любые данные, хранящиеся в текущей копии, будут перезаписаны более старым файлом.
Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO
Для создания теневых копий на компьютерах пользователей и управления ими нам понадобится инструмент vshadow.exe из Windows SDK. В этом примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае он корректно работал как в Windows 7, так и в Windows 10 x64). С помощью GPP скопируйте файл vshadow.exe в каталог %windir%system32 на всех компьютерах.
Совет. Файл vshadow.exe можно скачать по этой ссылке: vshadow-7×64.zip
Для этого в разделе «Конфигурация компьютера» -> «Настройки» -> «Настройки Windows» -> «Файловые политики» создайте новую политику, которая копирует файл vshadow.exe из каталога domain.locSYSVOLdomain.locscripts (файл vshadow.exe) файл необходимо сначала скопировать сюда) в каталог %windir%system32vshadow.exe (в месте назначения необходимо указать имя файла). Эту политику можно настроить на применение только один раз (используйте один раз и больше не используйте).
Задание планировщика по созданию VSS-снимков
Последнее, что осталось сделать, — это создать задание планировщика на всех компьютерах, на которых регулярно выполняется скрипт PowerShell vss-script.ps1, и создать новый vss-снимок дисков. Самый простой способ создать такую задачу — через GPP. Для этого в Конфигурация компьютера -> Настройки -> Запланированные задачи создайте новую задачу планировщика (Создать-> Запланированная задача (минимум Windows 7) с именем: create vssnapshot, работающую от имени NT AUTHORITYSystem с повышенными привилегиями.
Допустим, задачу следует запускать каждый день в обед в 13:20 (здесь вам придется самостоятельно продумать необходимую периодичность создания снимков).
Сценарий для запуска: %windir%System32WindowsPowerShellv1.0powershell.exe
с аргументом %windir%system32vss-script.ps1
Совет. Вам также следует рассмотреть возможность создания еженедельного задания планировщика, удаляющего старые снимки VSS. Для этого вам нужно создать новую задачу планировщика, которая запускает скрипт, аналогичный первому, но со строками:
$vssadminDeleteOld = «vshadow.exe -do=%$Drive”
cmd /c $vssadminDeleteOld
