Kürzlich entdeckte das 360 ​​Internet Security Center eine neue Art von Ransomware-Virus, der in vielen Ländern und Regionen sowohl auf Unternehmen als auch auf Privatpersonen abzielt. 360 gab am 12. Mai nach der Entdeckung eine rechtzeitige Notfallwarnung heraus, um Benutzer an die bevorstehenden Risiken zu erinnern. Diese Ransomware verbreitet sich mit hoher Geschwindigkeit auf der ganzen Welt. Unvollständigen Statistiken zufolge wurden innerhalb weniger Stunden nach der Explosion Zehntausende Geräte in 99 Ländern infiziert, und dieser Netzwerkwurm versucht immer noch, seinen Einfluss auszuweiten.

Typischerweise handelt es sich bei einem Ransomware-Virus um ein Schadprogramm mit eindeutiger Erpressungsabsicht. Es verschlüsselt die Dateien des Opfers mithilfe eines asymmetrischen kryptografischen Algorithmus, macht sie unzugänglich und verlangt ein Lösegeld, um sie zu entschlüsseln. Wird das Lösegeld nicht gezahlt, können die Dateien nicht wiederhergestellt werden. Diese neue Art trägt den Codenamen WanaCrypt0r. Was ihn so tödlich macht, ist, dass er das Hacking-Tool „EternalBLue“ verwendet hat, das der NSA gestohlen wurde. Dies erklärt auch, warum sich WanaCrypt0r schnell auf der ganzen Welt verbreiten konnte und in kürzester Zeit große Verluste verursachte. Nach dem Durchbruch des Netzwerkwurms am 12. Mai führte die Kernsicherheitsabteilung des 360 Internet Security Center eine gründliche Überwachung und eingehende Analyse durch. Wir können jetzt eine Reihe von Erkennungs-, Schutz- und Datenwiederherstellungslösungen gegen WanaCrypt0r veröffentlichen.

Das 360 Helios Team ist ein APT-Forschungs- und Analyseteam (Advanced Persistent Attack) innerhalb der Kernsicherheitsabteilung, das sich hauptsächlich der Untersuchung von APT-Angriffen und der Reaktion auf Bedrohungsvorfälle widmet. Sicherheitsforscher haben die Mechanismen von Viren sorgfältig analysiert, um die effektivste und genaueste Methode zur Wiederherstellung verschlüsselter Dateien zu finden. Mit dieser Methode kann 360 der erste Sicherheitsanbieter werden, der ein Datenwiederherstellungstool herausbringt – „360 Ransomware Infected File Recovery“, um seinen Kunden dabei zu helfen, infizierte Dateien schnell und vollständig wiederherzustellen. Wir hoffen, dass dieser Artikel Ihnen hilft, die Tricks dieses Wurms zu verstehen und die breitere Diskussion über die Wiederherstellung verschlüsselter Dateien anzuregen.

Kapitel 2 Analyse grundlegender Verschlüsselungsprozesse

Dieser Wurm stellt das Verschlüsselungsmodul im Speicher bereit und lädt die DLL direkt in den Speicher. Die DLL exportiert dann eine TaskStart-Funktion, mit der der gesamte Verschlüsselungsprozess aktiviert werden soll. Die DLL greift dynamisch auf das Dateisystem und die verschlüsselungsbezogenen API-Funktionen zu, um eine statische Erkennung zu vermeiden.

1. Anfangsphase

Zuerst wird „SHGetFolderPathW“ verwendet, um die Desktop- und Dateiordnerpfade abzurufen. Anschließend wird die Funktion „10004A40“ aufgerufen, um den Pfad zu den Desktops und Dateiordnern anderer Benutzer abzurufen, und die Funktion „EncrytFolder“ aufgerufen, um die Ordner einzeln zu verschlüsseln.

Es scannt alle Laufwerke zweimal von Treiber Z bis C. Beim ersten Scan werden alle lokalen Laufwerke (außer Treiber-CD) ausgeführt. Der zweite Scan überprüft alle mobilen Speichergeräte und ruft die EncrytFolder-Funktion auf, um Dateien zu verschlüsseln.

2. Dateidurchlauf

Die Funktion „EncryptFolder“ ist eine rekursive Funktion, die Informationen über Dateien sammeln kann, indem sie das folgende Verfahren befolgt:

Dateipfade oder Ordner während des Cross-Prozesses entfernen:

Es gibt einen interessanten Ordner namens „Dieser Ordner schützt vor Ransomware.“ Wenn Sie es ändern, verringert sich der Schutz.“ Wenn Sie dies tun, werden Sie feststellen, dass es sich um den Schutzordner der Anti-Ransomware-Software handelt.

Beim Crawlen von Dateien sammelt Ransomware Dateiinformationen wie die Größe der Dateien und klassifiziert die Dateien dann in verschiedene Typen entsprechend ihrer Erweiterung unter Einhaltung bestimmter Regeln:

Liste der Erweiterungstypen 1:

Liste der Erweiterungstypen 2:

3. Verschlüsselungspriorität

Um wichtige Dateien so schnell wie möglich zu verschlüsseln, hat WanaCrypt0r eine komplexe Prioritätswarteschlange entwickelt:

Prioritätswarteschlange:

I. Verschlüsseln Sie Dateien vom Typ 2, die auch mit der Erweiterungsliste 1 übereinstimmen. Wenn die Datei kleiner als 0X400 ist, wird die Verschlüsselungspriorität gesenkt.
II. Verschlüsseln Sie Dateien vom Typ 3, die auch der Erweiterungsliste 2 entsprechen. Wenn die Datei kleiner als 0X400 ist, wird die Verschlüsselungspriorität gesenkt.
III. Verschlüsseln Sie die verbleibenden Dateien (weniger als 0x400) und andere Dateien.

4. Verschlüsselungslogik

Der gesamte Verschlüsselungsprozess wird sowohl mit RSA als auch mit AES durchgeführt. Obwohl der RSA-Verschlüsselungsprozess die Microsoft CryptAPI verwendet, wird der AES-Code statisch in eine DLL kompiliert. Der Verschlüsselungsprozess ist in der folgenden Abbildung dargestellt:

Liste der verwendeten Schlüssel:

Dateiformat nach der Verschlüsselung:

Bitte beachten Sie, dass die Ransomware während des Verschlüsselungsprozesses zufällig einige Dateien zum Verschlüsseln mithilfe der integrierten Funktion auswählt Öffentlicher Schlüssel RSA bietet mehrere Dateien an, die Opfer kostenlos entschlüsseln können.

Den Pfad zu den kostenlosen Dateien finden Sie in der Datei „f.wnry“.

5. Zufallszahlen eingeben

Nach der Verschlüsselung füllt WanaCrypt0r die von ihm als wichtig erachteten Dateien mit Zufallszahlen, bis die Datei vollständig zerstört wird, und verschiebt die Dateien dann zum Löschen in ein temporäres Dateiverzeichnis. Auf diese Weise wird es den Dateiwiederherstellungstools erheblich erschwert, Dateien wiederherzustellen. Gleichzeitig kann der Verschlüsselungsprozess beschleunigt werden.

Abgeschlossene Dateien müssen die folgenden Anforderungen erfüllen:

— Im angegebenen Verzeichnis (Desktop, Mein Dokument, Benutzerordner)

— Die Datei ist weniger als 200 MB groß

— Die Dateierweiterung befindet sich in der Liste der Erweiterungstypen 1

Logik zum Füllen von Dateien:

- Wenn die Datei kleiner als 0x400 ist, wird sie mit Zufallszahlen gleicher Länge bedeckt

- Wenn die Datei größer als 0x400 ist, wird das letzte 0x400 mit Zufallszahlen belegt

- Bewegen Sie den Dateizeiger auf den Dateikopf und legen Sie 0x40000 als Datenblock fest, um die Datei bis zum Ende mit Zufallszahlen zu bedecken.

6. Dateien löschen

WanaCrypt0r verschiebt Dateien zunächst in einen temporären Ordner, um eine temporäre Datei zu erstellen, und löscht sie dann auf verschiedene Weise.

Wenn es die Laufwerke durchläuft, um Dateien zu verschlüsseln, wird auf dem aktuellen Laufwerk eine temporäre Datei mit dem Namen „$RECYCLE + Auto-Inkrement + .WNCYRT“ (z. B. „D:\$RECYCLE\1.WNCRYT“) erstellt . Insbesondere wenn das aktuelle Laufwerk ein Systemlaufwerk ist (z. B. Driver-C), wird das temporäre Verzeichnis des Systems verwendet.

Anschließend führt der Prozess taskdl.exe aus und löscht temporäre Dateien in einem festgelegten Zeitintervall.

Kapitel 3 Datenwiederherstellungsmöglichkeit

Bei der Analyse seiner Ausführungslogik haben wir festgestellt, dass dieser Wurm Dateien, die die angegebenen Anforderungen erfüllen, mit Zufallszahlen oder 0x55 überschreibt, um Dateistrukturen zu zerstören und ihre Wiederherstellung zu verhindern. Dieser Vorgang wird jedoch nur für bestimmte Dateien oder Dateien mit einer bestimmten Erweiterung akzeptiert. Das bedeutet, dass immer noch viele Dateien nicht überschrieben wurden, so dass noch Spielraum für die Dateiwiederherstellung bleibt.

Während des Entfernungsvorgangs verschob der Wurm die Quelldateien durch Aufrufen der MoveFileEx-Funktion in einen temporären Dateiordner. Schließlich werden die temporären Dateien massenhaft gelöscht. Während des oben genannten Vorgangs werden möglicherweise die Quelldateien geändert, die aktuellen jedoch Software Auf dem Markt erhältliche Datenrettungsfirmen sind sich dessen nicht bewusst, so dass etliche Dateien nicht erfolgreich wiederhergestellt werden können. Der Bedarf an Wiederherstellungsdateien für Opfer ist kaum zu erkennen.

Für andere Dateien führte der Wurm einfach den Befehl „Verschieben & Löschen“ aus. Da die Prozesse zum Löschen und Verschieben von Dateien getrennt sind, konkurrieren diese beiden Threads miteinander, was dazu führen kann, dass die Dateiverschiebung aufgrund von Unterschieden fehlschlägt Systemumgebung Benutzer. Dadurch wird die Datei direkt an ihrem aktuellen Speicherort gelöscht. In diesem Fall besteht eine hohe Wahrscheinlichkeit, dass die Datei wiederhergestellt werden kann.

https://360totalsecurity.com/s/ransomrecovery/

Mit unseren Wiederherstellungsmethoden kann ein großer Prozentsatz der verschlüsselten Dateien perfekt wiederhergestellt werden. Als Reaktion auf diesen Bedarf wurde nun die aktualisierte 360-Version des Dateiwiederherstellungstools entwickelt, um Zehntausenden von Opfern dabei zu helfen, Verluste und Folgen zu mildern.

14. Mai 360 ist der erste Sicherheitsanbieter, der ein Tool zur Dateiwiederherstellung veröffentlicht, mit dem viele Dateien vor Ransomware gerettet wurden. Das eine neue Version hat einen weiteren Schritt unternommen, um die logischen Schwachstellen von WanaCrypt0r auszunutzen. Es kann das Virus entfernen, um eine weitere Infektion zu verhindern. Mithilfe mehrerer Algorithmen kann es für Clients versteckte Verbindungen zwischen kostenlos wiederherstellbaren Dateien und entschlüsselten Dateien finden. Dieser All-in-One-Wiederherstellungsdienst kann den Schaden durch einen Ransomware-Angriff reduzieren und die Sicherheit der Benutzerdaten schützen.

Kapitel 4 Fazit

Massenausbruch und Verbreitung von WannaCry-Würmern durch den Einsatz von MS17-010, wodurch dieser zusätzlich zu den Funktionen einer allgemeinen Ransomware auch zur Selbstreplikation und aktiven Verbreitung fähig ist. Neben der Angriffsnutzlast spielt die technische Struktur der Ransomware die wichtigste Rolle bei den Angriffen. Die Ransomware verschlüsselt den AES-Schlüssel mit dem asymmetrischen kryptografischen Algorithmus RSA-2048. Jede Datei wird dann mit einem zufälligen symmetrischen AES-128-Verschlüsselungsalgorithmus verschlüsselt. Dies bedeutet, dass man sich auf bestehende Berechnungen und Methoden stützt, die RSA-2048 und AES-128 ohne offene oder offene Dateien entschlüsseln private Schlüssel nahezu unmöglich. Allerdings hinterlassen die Autoren einige Fehler im Verschlüsselungsprozess, was die Wiederherstellungsmöglichkeit gewährleistet und erhöht. Wenn die Aktionen schnell genug ausgeführt werden, können die meisten Daten wieder gespeichert werden.

Da das Lösegeld außerdem in anonymen Bitcoins gezahlt wird, für die jeder ohne echte Zertifizierung die Adresse erhalten kann, ist es unmöglich, den Angreifer über verschiedene Adressen hinweg zu identifizieren, geschweige denn zwischen verschiedenen Konten desselben Adressinhabers. Aufgrund der Einführung eines unzerbrechlichen Verschlüsselungsalgorithmus und anonymer Bitcoins ist es daher sehr wahrscheinlich, dass diese Art von profitablem Ransomware-Ausbruch noch lange anhalten wird. Jeder muss vorsichtig sein.

360 Helios-Team

Das 360 Helios Team ist ein APT-Forschungsteam (Advanced Persistent Attack) in Qihoo 360.

Das Team widmet sich der Untersuchung von APT-Angriffen, der Reaktion auf Bedrohungsvorfälle und der Erforschung der Industrieketten der Schattenwirtschaft.

Seit seiner Gründung im Dezember 2014 hat das Team erfolgreich eine riesige 360°-Datenbank integriert und einen schnellen Umkehr- und Korrelationsprozess geschaffen. Bisher wurden mehr als 30 APTs und Untergrundwirtschaftsgruppen identifiziert und identifiziert.

360 Helios bietet auch Bedrohungsbewertungs- und Reaktionslösungen für Unternehmen.

Öffentliche Berichte

Kontakt
Email E-Mail: [email protected]
WeChat-Gruppe: 360 Helios-Team
Bitte laden Sie den QR-Code unten herunter, um uns auf WeChat zu folgen!

Lesen Sie, wie Sie dadurch gelöschte Dateien wiederherstellen Virenbefall Dateien mithilfe integrierter Windows-Lösungen oder Programme von Drittanbietern. So stellen Sie mit einem Virus verschlüsselte Dateien wieder her. Wurde Ihr Computer von einem Virus befallen? Möchten Sie Dateien wiederherstellen, die aufgrund böswilliger Angriffe gelöscht wurden? Wir werden versuchen, in diesem Artikel über Standardmethoden zur Behebung einer unerwarteten Situation und verschiedene Optionen zum Wiederherstellen gelöschter Dateien zu sprechen.

Inhalt:

Einführung

Mit der Entwicklung elektronischer Technologien und Kommunikationsmittel hat sich der Umfang und die Menge an Informationen erhöht, die Benutzer bei der Durchführung verschiedener Aktionen benötigen, die in direktem Zusammenhang mit beruflichen und produktiven Aktivitäten stehen und auf die Bereitstellung von Kommunikation, Kommunikation, Spielen und Unterhaltung für letztere abzielen deutlich erweitert.

Computergeräte unterschiedlicher Bauart helfen dabei, die volle Kontrolle über ein- und ausgehende Datenströme auszuüben, eine sofortige Verarbeitung unabhängig vom Endvolumen durchzuführen und eine sichere Speicherung zu gewährleisten.

Stationäre Personalcomputer und Laptops, einschließlich ihrer variablen Kombinationen (Ultrabooks, Netbooks, Convertible-Laptops, Nettops), Tablets, Smartphones und Kommunikatoren usw. Den ständig steigenden Bedürfnissen der Benutzer bei der Arbeit mit Informationen voll und ganz gerecht werden und die neuesten Informationsstandards erfüllen.

Die bei den Nutzern am häufigsten vertretenen elektronischen Geräte sind PCs und Laptops. Reichhaltiger interner Inhalt von Computergeräten (ultraschnelle Prozessoren, hochfunktionell). Motherboards, progressive Speicherstreifen, kapazitive Speichergeräte usw.) und moderne Hochleistungssoftware ermöglichen es ihnen zu Recht, eine weltweit führende Position bei der Verarbeitung und Speicherung von Informationen einzunehmen.

Was die Verbreitungsbreite und die Anzahl der genutzten Geräte betrifft, kommen Smartphones und Kommunikatoren ihnen nahe. Dank hoher Mobilität, Miniaturgröße, relativ hoher Funktionalität und einem umfangreichen Sortiment verfügbaren Anwendungen– Smartphones streben danach, bei der Ausführung bestimmter Aktionen mit Computern und Laptops mitzuhalten und diese möglichst zu ersetzen.

Entwicklung internationaler Informationen Computernetzwerk "Internet" beschleunigte die Verbreitung und Verwendung verschiedener Computergeräte durch Benutzer, um Probleme zu lösen, ohne unbedingt daran gebunden zu sein spezifisches Gerät oder Arbeitsplatz. Die Nutzung einer umfangreichen Datenbank sowie die Fernnutzung und -verarbeitung von Informationen haben Computergeräte erheblich populär gemacht und den Übergang zur digitalen Speicherung von Informationen beschleunigt.

Mit dem weit verbreiteten Übergang zu digitalen Informationen werden die meisten Arten von Benutzerdaten (persönliche, soziale, öffentliche und geschäftliche) von verschiedenen Computergeräten gespeichert, verarbeitet, übertragen und bereitgestellt. Die wichtigste Anforderung an alle Geräte ist dabei ein zwingendes hohes Maß an Datensicherheit und deren Schutz vor unbefugten Eingriffen Dritter.

Zu den häufigsten Arten schädlicher Auswirkungen auf Benutzerdaten gehören Virenangriffe durch Schadsoftware.

Der Aktions- und Funktionsumfang solcher Programme ist ungewöhnlich breit und dank der Internationalität Informationsnetzwerk "Internet", ihre Verbreitung hat ein globales Ausmaß erreicht.

Die Infizierung des Computergeräts eines Benutzers mit einem Virus kann unerwünschte Folgen haben. Die häufigste davon ist die Löschung von Benutzerdateien. Wie Sie Dateien wiederherstellen, nachdem Sie Virenprogrammen ausgesetzt waren, erfahren Sie weiter in unserem Artikel.

Die meisten Computerbenutzer haben die Konsequenzen gehört und viele haben sie direkt erlebt negative Auswirkung Computerviren, ihre Auswirkungen auf Benutzerdateien und die Gesamtleistung des Personalcomputers als Ganzes. Absichtliche Löschung oder Beschädigung von Benutzerdateien, Blockierung des Zugriffs auf einzelne Elemente Betriebssystem oder Computer, selektive Verschlüsselung von Dateien und Änderung ihrer Struktur, Löschen oder Löschen der Partitionstabelle, Übertragung der Kontrolle über einen PC an Angreifer, Nutzung der Fähigkeiten des Computers des Benutzers für Remote-Hacking oder andere böswillige Aktionen, Diebstahl persönlicher Daten, Versenden von Spam Nachrichten usw. – nur ein Teil aller Aktionen, die aus einer Infektion eines Computergeräts mit einem Virus resultieren können.

Das Programm wurde entwickelt, um Daten von Festplatten wiederherzustellen externe Laufwerke sowie alle anderen Speichergeräte. Es kombiniert eine Reihe fortschrittlicher Algorithmen, mit denen Sie gelöschte Informationen analysieren und suchen können, um sie später wiederherzustellen, Daten nach Systemausfällen zurückzugeben usw diverse Fehler Systeme, lesen Informationen von beschädigten, nicht lesbaren, nicht funktionierenden oder beschädigten Datenträgern und ermöglichen dann den Zugriff auf verlorene oder unzugängliche Dateien. unterstützt die gesamte Palette der im Betriebssystem verwendeten Dateisysteme „Windows“ und korrigiert eventuelle Fehler in der logischen Struktur Festplatte um verlorene Inhalte sicher zurückzugeben.

Ein weiterer Vorteil des Programms ist die Möglichkeit, durch Virenangriffe beschädigte, beschädigte oder blockierte Informationen wiederherzustellen. Dank einer Reihe innovativer Algorithmen ist es möglich, Dateien nach einem böswilligen Virenangriff zurückzugeben, der zur Zerstörung von Benutzerdaten oder zum fehlenden Zugriff darauf führt.

Laden Sie die Programminstallationsdatei von der offiziellen Website des Unternehmens herunter Hetman-Software und starten Sie die Ausführung. Ein Schritt-für-Schritt-Softwareinstallationsassistent ermöglicht Ihnen nach dem Festlegen einzelner Parameter, wie z. B. der Angabe des Installationspfads oder der Erstellung einer Verknüpfung auf dem Desktop, eine schnelle und erfolgreiche Installation des Programms auf dem PC des Benutzers zur weiteren Verwendung.

Öffnen Sie nach Abschluss der Installation installiertes Programm. Die integrierten Tools des Programms führen eine erste Analyse des Systems durch und zeigen alles an, was damit zusammenhängt persönlicher Computer, Datenspeichergeräte.

Wählen Sie eine Festplattenpartition oder ein ganzes physisches Laufwerk aus, indem Sie im Programmfenster auf das entsprechende Symbol doppelklicken. Das Programm aktiviert den Start des Dateiwiederherstellungsassistenten, der den Benutzer auffordert, sich für die Art der Systemanalyse zu entscheiden, die zu einem bestimmten Zeitpunkt erforderlich ist. Im Falle eines Dateiverlusts aufgrund eines Virenangriffs wählen Sie die Option „Vollständige Analyse“, um alle möglichen Informationen auf dem ausgewählten Datenträger zu durchsuchen und wiederherzustellen, indem Sie einen Indikator (Punkt) gegenüber der entsprechenden Zelle platzieren „Vollständige Analyse (Suche nach allen möglichen Informationen)“. Klicken Sie nach Auswahl der Analyse auf die Schaltfläche "Weiter" und beginnen Sie mit dem Wiederherstellungsprozess.

Abhängig vom internen Volumen des Laufwerks, dem Grad der Informationsbeschädigung, dem Dateisystem und einer Reihe anderer Faktoren zusätzliche Parameter, kann der Vorgang zur Analyse und Suche nach gelöschten Dateien unterschiedlich lange dauern: von mehreren Minuten bis zu mehreren Stunden. Ein linearer Fortschrittsbalken informiert Benutzer über den prozentualen Abschluss des gesamten Wiederherstellungsprozesses und zeigt zusätzlich die geschätzte Gesamtabschlusszeit an.

Am Ende des Wiederherstellungsprozesses wird die gesamte Liste der erkannten Dateien und Ordner im Programmfenster angezeigt, dessen Benutzeroberfläche dem Erscheinungsbild des Datei-Explorers möglichst nahe kommt „Windows“ für den Komfort der Endbenutzer. Durch Klicken auf jede Datei können Benutzer deren Inhalt anzeigen, der in einem Vorschaufenster angezeigt wird. Wählen Sie die erforderlichen Dateien aus und platzieren Sie sie im Fenster „Wiederherstellungsliste“ Beim normalen Ziehen müssen Sie die Taste drücken "Wiederherstellen", befindet sich im Menüband des Hauptmenüs des Programms und wird im Formular angezeigt Rettungsring, zum späteren Speichern der markierten Daten.

Der Dateiwiederherstellungsassistent fordert Benutzer auf, eine von vier Optionen auszuwählen mögliche Wege Ausgewählte Elemente speichern: Speichern unter Festplatte oder ein anderes festes oder entfernbares Speichermedium, auf dem aufgezeichnet wird optische Platte, erstellen „ISO-Image“ wiederhergestellte Dateien oder Hochladen von Daten auf „FTP-Protokoll“. Durch die Angabe mehrerer zusätzlicher notwendiger Parameter, beispielsweise des Pfads zum Speichern der wiederhergestellten Dateien, können Benutzer ihre Daten gemäß den ausgewählten Bedingungen speichern.

Jetzt können Sie den Ordner mit den wiederhergestellten Dateien öffnen und deren volle Funktionalität überprüfen.

Heute, wenn Entwicklung Informationstechnologien schreitet mit enormer Geschwindigkeit voran. Fast jeder Computerbenutzer weiß um die Gefahr, sich mit einem Virus zu infizieren, und weiß, wie wichtig es ist, ihn zu beseitigen und das System auf dem richtigen Sicherheitsniveau zu halten. Es gibt jedoch einige Nuancen, wenn es darum geht, das System von böswilligen Infektionen zu befreien.

Wenn das System mit einem Virus infiziert ist, beginnt dieser sich zu vermehren und Benutzerdaten und das Betriebssystem als Ganzes zu schädigen, was sich negativ auf seine Leistung auswirkt. Deshalb die beste Lösung verhindert, dass der Virus in das System eindringt, und verwendet ein Antivirenprogramm, das einen leistungsstarken Schutz gegen das böswillige Eindringen von Malware bietet.

Wenn jedoch bereits eine Infektion aufgetreten ist, kann der natürliche Wunsch, das Betriebssystem sofort vom Virus zu befreien, auch negative Folgen haben. Beim Entfernen eines Virus kann ein Antivirenprogramm je nach verwendetem Algorithmus auch einige nützliche Dateien vom Computer des Benutzers entfernen. Infolgedessen kann dies zu zusätzlichem Schaden und zum Löschen weiterer Dateien vom Computer des Benutzers oder zum dauerhaften Verlust einiger Daten führen. Daher wäre es besser, den Datenwiederherstellungsprozess vollständig abzuschließen, bevor Sie mit der Festplattenbereinigung für Viren beginnen.

Abschluss

Die weit verbreitete Verwendung von Computergeräten, die Benutzerfreundlichkeit und die Breite Funktionalität verschaffen ihnen eine führende Position im Bereich der Verarbeitung und Speicherung verschiedener Informationen. Angesichts der hohen Beliebtheit von Computergeräten und der Entwicklung des Informationscomputernetzwerks "Internet" und der obligatorischen Übertragung der meisten Arten von Daten in ein digitales Format erhöht sich das Risiko, den schädlichen Auswirkungen von Schadprogrammen ausgesetzt zu sein, die darauf abzielen, Benutzerdaten zu schädigen oder sie für betrügerische Zwecke zu stehlen, erheblich.

Täglich werden Viren entwickelt, ihre Zahl wächst rasant und verursacht erheblichen Schaden für Benutzer und ihre Daten. Mit leistungsstarken Fortgeschrittenen Antivirenprogramme reduziert das mögliche Risiko einer Infektion von Computergeräten erheblich, bietet jedoch aufgrund der breiten Palette von Suchvorgängen nach Systemschwachstellen, die von Virenalgorithmen verwendet werden, keine vollständige Garantie für die Sicherheit der Daten. Dadurch können Benutzerinformationen beschädigt werden oder vollständig verloren gehen.

Allerdings das Betriebssystem „Windows“ verfügt über integrierte Backup- und Systemwiederherstellungstools, die Benutzern in den meisten Fällen dabei helfen, verlorene Daten wiederherzustellen.

In einigen Fällen Systemsicherheitstools „Windows“ nicht genug. Daher ist es wichtig, über eine professionelle Dateiwiederherstellungssoftware zu verfügen, die alle Benutzerinformationen wiederherstellen kann, die aufgrund einer Virusinfektion und aus verschiedenen anderen Gründen verloren gegangen sind.

Die ersten Ransomware-Trojaner der Familie Trojan.Encoder tauchten in den Jahren 2006–2007 auf. Seit Januar 2009 ist die Zahl ihrer Sorten um rund 1900 % gestiegen! Derzeit ist Trojan.Encoder mit mehreren tausend Modifikationen eine der gefährlichsten Bedrohungen für Benutzer. Von April 2013 bis März 2015 erhielt das Virenlabor von Doctor Web 8.553 Anfragen zur Entschlüsselung von Dateien, die von Encoder-Trojanern betroffen waren.
Verschlüsselungsviren haben bei Anfragen in Foren fast den ersten Platz belegt Informationssicherheit. Jeden Tag erhalten allein die Mitarbeiter des Doctor Web-Virenlabors durchschnittlich 40 Entschlüsselungsanfragen von Benutzern, die mit verschiedenen Arten von Verschlüsselungstrojanern infiziert sind ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, Tresor und so weiter). Die Hauptsymptome solcher Infektionen sind die Änderung der Erweiterungen von Benutzerdateien wie Musikdateien, Bilddateien, Dokumenten usw. Wenn Sie versuchen, sie zu öffnen, erscheint eine Nachricht von den Angreifern, in der sie eine Zahlung für den Erhalt eines Entschlüsselungsprogramms verlangen. Es besteht auch die Möglichkeit, das Hintergrundbild des Desktops, das Erscheinungsbild von Textdokumenten und Fenstern mit entsprechenden Meldungen zu Verschlüsselung, Verletzung von Lizenzvereinbarungen usw. zu ändern. Für kommerzielle Unternehmen sind Verschlüsselungstrojaner besonders gefährlich, da verlorene Daten aus Datenbanken und Zahlungsdokumenten die Arbeit des Unternehmens auf unbestimmte Zeit blockieren und zu Gewinneinbußen führen können.

Trojaner aus der Trojan.Encoder-Familie verwenden Dutzende verschiedener Algorithmen zur Verschlüsselung von Benutzerdateien. Um beispielsweise die Schlüssel zum Entschlüsseln von Dateien zu finden, die vom Trojan.Encoder.741 mit einer Brute-Force-Methode verschlüsselt wurden, benötigen Sie Folgendes:
107902838054224993544152335601 Jahr

Eine Entschlüsselung der durch den Trojaner beschädigten Dateien ist in maximal 10 % der Fälle möglich. Dies bedeutet, dass die meisten Benutzerdaten für immer verloren gehen.

Heute fordert Ransomware bis zu 1.500 Bitcoins.

Selbst wenn Sie dem Angreifer ein Lösegeld zahlen, Es gibt Ihnen keine Garantie für die Datenwiederherstellung.

Es kommt zu Kuriositäten: Es wurde ein Fall registriert, bei dem es den Kriminellen trotz gezahltem Lösegeld nicht gelang, mit dem von ihnen erstellten Trojan.Encoder verschlüsselte Dateien zu entschlüsseln, und den Benutzer des Opfers um Hilfe baten ... an den Dienst technische Unterstützung Antiviren-Unternehmen!

Wie kommt es zu einer Infektion?

• Durch Investitionen in Email; Methode soziale Entwicklung Angreifer zwingen den Benutzer, die angehängte Datei zu öffnen.
• Verwendung von als PDF-Anhänge getarnten Zbot-Infektionen.
• Durch Exploit-Kits auf gehackten Websites, die Schwachstellen auf dem Computer ausnutzen, um eine Infektion zu installieren.
• Durch Trojaner, die den Download des Players anbieten, der zum Ansehen von Online-Videos erforderlich ist. Dies geschieht normalerweise auf Pornoseiten.
• Über RDP unter Verwendung von Passwort-Erraten und Schwachstellen in diesem Protokoll.
• Verwendung infizierter Keygens, Cracks und Aktivierungsprogramme.

Beim Erraten von RDP-Passwörtern ein Angreifer er kommt alleine rein unter einem gehackten Konto, schaltet es selbst aus oder lädt ein Antivirenprodukt herunter und startet sich Verschlüsselung.

Bis Sie keine Angst mehr vor Briefen mit den Überschriften „Schulden“, „Strafverfahren“ usw. haben, werden Angreifer Ihre Naivität ausnutzen.

Denken Sie darüber nach ... Lernen Sie selbst und bringen Sie anderen die einfachsten Grundlagen der Sicherheit bei!

• Öffnen Sie niemals Anhänge von E-Mails, die von unbekannten Empfängern stammen, egal wie beängstigend der Header auch sein mag. Wenn der Anhang als Archiv angekommen ist, machen Sie sich die Mühe, einfach den Inhalt des Archivs anzuzeigen. Und wenn es eine ausführbare Datei gibt (Erweiterung .exe, .com, .bat, .cmd, .scr), dann ist das zu 99,(9)% eine Falle für Sie.
• Wenn Sie immer noch Angst vor etwas haben, seien Sie nicht faul, die Wahrheit herauszufinden E-Mail die Organisation, in deren Namen Sie den Brief erhalten haben. Das ist in unserem Informationszeitalter gar nicht so schwer herauszufinden.
• Selbst wenn sich herausstellt, dass die Absenderadresse wahr ist, zögern Sie nicht, telefonisch zu überprüfen, ob ein solcher Brief gesendet wurde. Über anonyme SMTP-Server kann die Absenderadresse leicht gefälscht werden.
• Wenn der Absender „Sberbank“ oder „Russische Post“ sagt, bedeutet das nichts. Normale Briefe sollten idealerweise mit einer elektronischen Signatur versehen werden. Bitte überprüfen Sie die an solche E-Mails angehängten Dateien sorgfältig, bevor Sie sie öffnen.
• Tun Sie es regelmäßig Backups Informationen auf separaten Medien.
• Vergessen Sie die Verwendung einfache Passwörter, die leicht zu erlernen und zu erlernen sind lokales Netzwerk Organisationen unter Ihren Daten. Für den RDP-Zugriff nutzen Sie Zertifikate, VPN-Zugriff oder Zwei-Faktor-Authentifizierung.
• Arbeiten Sie niemals mit Administratorrechten, achten Sie auf Meldungen UAC selbst wenn sie es getan haben "blaue Farbe" unterschriebenen Antrag, nicht anklicken "Ja", wenn Sie keine Installationen oder Updates durchgeführt haben.
• Installieren Sie regelmäßig Sicherheitsupdates nicht nur für das Betriebssystem, sondern auch für Anwendungsprogramme.
• Installieren Passwort für die Einstellungen des Antivirenprogramms, unterschiedlich vom Passwort Konto, aktivieren Sie die Selbstverteidigungsoption

Lassen Sie uns die Empfehlungen von Dr.Web und Kaspersky Lab zitieren:

• Schalten Sie Ihren Computer sofort aus, um den Trojaner zu stoppen. Die Reset-Taste auf Ihrem Computer kann einen erheblichen Teil der Daten retten.
• Kommentarseite: Trotz der Tatsache, dass eine solche Empfehlung von namhaften Labors gegeben wird, wird ihre Umsetzung in einigen Fällen die Entschlüsselung erschweren, da der Schlüssel möglicherweise darin gespeichert ist Arbeitsspeicher und nach einem Neustart des Systems ist eine Wiederherstellung nicht mehr möglich. Um eine weitere Verschlüsselung zu stoppen, können Sie die Ausführung des Ransomware-Prozesses mit Process Explorer oder für weitere Empfehlungen einfrieren.

Spoiler: Fußnote

Kein Encoder ist in der Lage, alle Daten sofort zu verschlüsseln, so dass bis zum Abschluss der Verschlüsselung ein Teil davon unberührt bleibt. Und je mehr Zeit seit Beginn der Verschlüsselung vergangen ist, desto weniger unberührte Daten bleiben übrig. Da es unsere Aufgabe ist, so viele davon wie möglich zu speichern, müssen wir den Betrieb des Encoders stoppen. Im Prinzip können Sie mit der Analyse der Liste der Prozesse beginnen, herausfinden, wo sich der Trojaner darin befindet, versuchen, ihn zu beenden ... Aber glauben Sie mir, das Herausziehen des Netzkabels geht viel schneller! Regelmäßige Fertigstellung Windows-Bedienung ist eine gute Alternative, aber es kann einige Zeit dauern, oder der Trojaner könnte ihn durch seine Aktionen stören. Meine Entscheidung ist also, an der Schnur zu ziehen. Zweifellos hat dieser Schritt seine Nachteile: die Möglichkeit einer Beschädigung des Dateisystems und die Unmöglichkeit, einen weiteren RAM-Speicherauszug zu erstellen. Beschädigt Dateisystem Für eine unvorbereitete Person ist das Problem schwerwiegender als der Encoder. Zumindest bleiben die Dateien nach dem Encoder erhalten, aber eine Beschädigung der Partitionstabelle macht es unmöglich, das Betriebssystem zu starten. Andererseits kann ein kompetenter Datenrettungsspezialist dieselbe Partitionstabelle problemlos reparieren, aber der Encoder hat möglicherweise einfach keine Zeit, auf viele Dateien zuzugreifen.

Um ein Strafverfahren gegen Angreifer einzuleiten, benötigen Strafverfolgungsbehörden einen prozessualen Grund – Ihre Aussage zur Tat. Beispielanwendung

Seien Sie darauf vorbereitet, dass Ihr Computer für einige Zeit zur Untersuchung beschlagnahmt wird.

Wenn Ihr Antrag abgelehnt wird, erhalten Sie eine schriftliche Absage und reichen bei einer höheren Polizeibehörde (dem Polizeipräsidenten Ihrer Stadt oder Region) Beschwerde ein.

• Versuchen Sie auf keinen Fall, das Betriebssystem neu zu installieren;
• Löschen Sie keine Dateien oder E-Mail-Nachrichten auf Ihrem Computer.
• Führen Sie keine „Cleaner“ für temporäre Dateien und die Registrierung aus.
• Sie sollten Ihren Computer nicht mit Antivirenprogrammen scannen und behandeln Antiviren-Dienstprogramme, und insbesondere Antiviren-LiveCDs, als letzten Ausweg können Sie infizierte Dateien in die Antiviren-Quarantäne verschieben;

Spoiler: Fußnote

Für die Entschlüsselung kann eine unauffällige 40-Byte-Datei in einem temporären Verzeichnis oder eine unverständliche Verknüpfung auf dem Desktop von größter Bedeutung sein. Sie wissen wahrscheinlich nicht, ob sie für die Entschlüsselung wichtig sind oder nicht, deshalb ist es besser, nichts anzufassen. Das Bereinigen der Registry ist im Allgemeinen ein zweifelhafter Vorgang, und einige Encoder hinterlassen dort Betriebsspuren, die für die Decodierung wichtig sind. Antivirenprogramme können natürlich den Körper eines Encoder-Trojaners finden. Und sie können es sogar ein für alle Mal löschen, aber was bleibt dann für die Analyse übrig? Wie können wir verstehen, wie und womit die Dateien verschlüsselt wurden? Daher ist es besser, das Tier auf der Scheibe zu lassen. Noch eins wichtiger Punkt: Ich kenne keinen Systemreiniger, der die Funktionsfähigkeit des Encoders berücksichtigt und alle Spuren seines Betriebs bewahrt. Und höchstwahrscheinlich werden solche Mittel nicht erscheinen. Durch eine Neuinstallation des Systems werden mit Ausnahme verschlüsselter Dateien mit Sicherheit alle Spuren des Trojaners vernichtet.

• Versuchen Sie nicht, verschlüsselte Dateien wiederherzustellen auf sich allein;

Spoiler: Fußnote

Wenn Sie ein paar Jahre Erfahrung im Schreiben von Programmen haben, wirklich verstehen, was RC4, AES, RSA sind und welche Unterschiede zwischen ihnen bestehen, Sie wissen, was Hiew ist und was 0xDEADC0DE bedeutet, können Sie es versuchen. Ich empfehle es anderen nicht. Nehmen wir an, Sie haben eine Wundermethode zum Entschlüsseln von Dateien gefunden und es ist Ihnen sogar gelungen, eine Datei zu entschlüsseln. Dies ist keine Garantie dafür, dass die Technik bei allen Ihren Dateien funktioniert. Darüber hinaus ist dies keine Garantie dafür, dass Sie mit dieser Methode die Dateien nicht noch mehr beschädigen. Selbst bei unserer Arbeit gibt es unangenehme Momente, in denen schwerwiegende Fehler im Entschlüsselungscode entdeckt werden, aber in Tausenden von Fällen hat der Code bis zu diesem Zeitpunkt so funktioniert, wie er sollte.

Da nun klar ist, was zu tun ist und was nicht, können Sie mit der Entschlüsselung beginnen. Theoretisch ist eine Entschlüsselung fast immer möglich. Dies ist der Fall, wenn Sie alle dafür notwendigen Daten kennen oder unbegrenzt Geld, Zeit und Geld zur Verfügung haben Prozessorkerne. In der Praxis kann man etwas fast sofort entziffern. Etwas wird ein paar Monate oder sogar Jahre warten, bis es an die Reihe kommt. In manchen Fällen muss man es gar nicht erst in Angriff nehmen: Niemand wird 5 Jahre lang einen Supercomputer kostenlos mieten. Schlimm ist auch, dass sich ein scheinbar einfacher Fall bei genauer Betrachtung als äußerst komplex herausstellt. Es liegt an Ihnen, zu entscheiden, an wen Sie sich wenden.

• Wenden Sie sich an das Antivirenlabor eines Unternehmens, das über eine Abteilung für Virenanalytiker verfügt, die sich mit diesem Problem befasst.
• Hängen Sie dem Ticket eine mit einem Trojaner verschlüsselte Datei an (und, wenn möglich, eine unverschlüsselte Kopie davon);
• Warten Sie auf die Antwort des Virenanalysten. Aufgrund der hohen Anzahl an Anfragen kann dies einige Zeit in Anspruch nehmen.

Wie kann ich Dateien wiederherstellen?

Adressen mit Formularen zum Versenden verschlüsselter Dateien:

• Dr.Web (Anträge auf kostenlose Entschlüsselung werden nur von Benutzern angenommen umfassendes Antivirenprogramm Drweb)
• Kaspersky Lab (Anfragen zur kostenlosen Entschlüsselung werden nur von Benutzern kommerzieller Produkte von Kaspersky Lab akzeptiert)
• ESET, LLC ( Anträge auf kostenlose Entschlüsselung werden nur von Benutzern kommerzieller ESET-Produkte angenommen)
• Das No More Ransom Project (Auswahl von Codeknackern)
• Verschlüsseler - Erpresser (Auswahl der Entschlüsseler)
• ID Ransomware (Auswahl an Entschlüsselern)

Wir Wir empfehlen absolut nicht Stellen Sie Dateien selbst wieder her, denn wenn Sie es ungeschickt machen, können Sie alle Informationen verlieren, ohne etwas wiederherzustellen!!! Darüber hinaus erfolgt die Wiederherstellung von Dateien, die durch bestimmte Arten von Trojanern verschlüsselt wurden es ist einfach unmöglich aufgrund der Stärke des Verschlüsselungsmechanismus.

Dienstprogramme zur Wiederherstellung gelöschter Dateien:
Einige Arten von Ransomware-Trojanern erstellen eine Kopie der verschlüsselten Datei, verschlüsseln sie und Originaldatei gelöscht, in diesem Fall können Sie eines der Dienstprogramme zum Wiederherstellen von Dateien verwenden (es wird empfohlen, tragbare Versionen von Programmen zu verwenden, die heruntergeladen und auf einem Flash-Laufwerk auf einem anderen Computer aufgezeichnet wurden):

• R.sparer
• Recuva
• JPEG Ripper – Dienstprogramm zur Wiederherstellung beschädigter Bilder
• JPGscan-Beschreibung)
• PhotoRec – ein Dienstprogramm zum Wiederherstellen beschädigter Bilder (Beschreibung)

Methode zur Lösung von Problemen mit einigen Versionen Sperrverzeichnis

Mit einigen Versionen von Lockdir verschlüsselte Ordner können mit einem Archivierungsprogramm geöffnet werden 7-Reißverschluss

Nach erfolgreicher Datenwiederherstellung müssen Sie das System auf Malware überprüfen; dazu sollten Sie im Abschnitt ein Thema ausführen und erstellen, in dem das Problem beschrieben wird

Wiederherstellen verschlüsselter Dateien mithilfe des Betriebssystems.

Um Dateien mithilfe des Betriebssystems wiederherzustellen, müssen Sie den Systemschutz aktivieren, bevor der Ransomware-Trojaner auf Ihren Computer gelangt. Die meisten Ransomware-Trojaner versuchen, alle Schattenkopien auf Ihrem Computer zu löschen, aber manchmal ist dies nicht möglich (wenn Sie nicht über Administratorrechte verfügen und installiert sind). Windows-Updates), und Sie können Schattenkopien zur Wiederherstellung verwenden beschädigte Dateien.

Bitte beachten Sie, dass der Befehl zum Löschen von Schattenkopien:

Code:

Vssadmin löscht Schatten

funktioniert nur mit Administratorrechten, daher müssen Sie nach dem Aktivieren des Schutzes nur noch unter einem Benutzer mit arbeiten eingeschränkte Rechte und achten Sie auf alle UAC-Warnungen bezüglich eines Versuchs, Berechtigungen auszuweiten.

Spoiler: Wie aktiviere ich den Systemschutz?

Wie kann ich frühere Versionen von Dateien wiederherstellen, nachdem diese beschädigt wurden?

Notiz:

Die Wiederherstellung aus den Eigenschaften einer Datei oder eines Ordners ist über die Registerkarte „Vorherige Versionen“ möglich nur in Editionen von Windows 7 nicht niedriger als „Professional“. Für Home-Editionen von Windows 7 und alle Editionen neuerer Windows-Betriebssysteme gibt es eine Problemumgehung (siehe Spoiler).

Spoiler

Zweiter Weg - Dies ist die Verwendung des Dienstprogramms ShadowExplorer(Sie können sowohl das Installationsprogramm als auch die tragbare Version des Dienstprogramms herunterladen.)

Führen Sie das Programm aus
Wählen Sie das Laufwerk und das Datum aus, für das Sie Dateien wiederherstellen möchten

Wählen Sie die wiederherzustellende Datei oder den Ordner aus und klicken Sie mit der rechten Maustaste darauf
Menüpunkt auswählen Export und geben Sie den Pfad zu dem Ordner an, in dem Sie Dateien aus der Schattenkopie wiederherstellen möchten.

Möglichkeiten, sich vor Ransomware-Trojanern zu schützen

Leider gibt es Methoden zum Schutz vor Ransomware-Trojanern für normale Benutzer sind recht komplex, da Sicherheitsrichtlinien oder HIPS-Einstellungen erforderlich sind, um den Zugriff auf Dateien nur bestimmten Anwendungen zu ermöglichen, und keinen hundertprozentigen Schutz bieten, wenn ein Trojaner in den Adressraum einer vertrauenswürdigen Anwendung gelangt. Daher das Einzige auf zugängliche Weise Schutz ist Sicherung Benutzerdateien auf Wechselmedien. Darüber hinaus, wenn ein solcher Träger ist extern hart B. eine Festplatte oder ein Flash-Laufwerk, sollten diese Medien nur für die Dauer der Sicherung an den Computer angeschlossen und in der übrigen Zeit nicht angeschlossen sein. Für mehr Sicherheit können Backups durch Booten durchgeführt werden LiveCD. Backups können auch auf dem sogenannten „ Cloud-Speicher " von einigen Unternehmen bereitgestellt.

Einrichten von Antivirenprogrammen, um die Wahrscheinlichkeit einer Infektion durch Ransomware-Trojaner zu verringern.

Gilt für alle Produkte:

Es ist notwendig, das Selbstverteidigungsmodul zu aktivieren und zu installieren komplexes Passwort zu den Antivirus-Einstellungen!!!

Suchen Sie ein Programm zur Wiederherstellung beschädigter Dateien? Nach der Wiederherstellung gelöschter Daten notwendigen Dateien nicht öffnen oder mit Fehlermeldung öffnen? Sie wissen nicht, wie Sie die Struktur beschädigter Fotos wiederherstellen können?

Stellen Sie beschädigte Dateien mit dem Programm wieder her

Verwenden Sie RS File Repair, um beschädigte Daten wiederherzustellen. Das Programm korrigiert Fehler in der Dateistruktur schnell und stellt sie in ihrer ursprünglichen Form wieder her. Der Schritt-für-Schritt-Wiederherstellungsassistent und die Benutzeroberfläche im MS Windows Explorer-Stil machen die Arbeit mit dem Dienstprogramm einfach und unkompliziert, ohne dass besondere Kenntnisse erforderlich sind. Dadurch kann jeder Benutzer die benötigten Dateien auch nach schweren Schäden schnell finden und wiederherstellen.

Mit RS File Repair können Sie Dateien auf zwei Arten „reparieren“.

Wenn Sie Daten mit dem Assistenten wiederherstellen, können Sie mit mehreren Dateien gleichzeitig arbeiten, auch wenn diese vorhanden sind verschiedene Ordner. Das Programm repariert den Schaden und speichert die Dateien im Ordner Ihrer Wahl.

Wenn Sie den Assistenten beim Wiederherstellen beschädigter Dateien nicht verwenden, steht Ihnen die Vorschaufunktion zur Verfügung und Sie können die korrigierten Dateien vor dem Speichern in der Vorschau anzeigen.

Wiederherstellen beschädigter Dateien mit dem Assistenten

In jedem neuen Assistentenfenster finden Sie detaillierte Informationen Schritt für Schritt Anweisungen, mit dem Sie beschädigte Dateien problemlos wiederherstellen können. Wenn Sie bei jedem Programmstart mit der Arbeit mit dem Assistenten beginnen möchten, nutzen Sie die Option „Assistent beim Programmstart anzeigen“.

Im Fenster „Dateien auswählen“ müssen Sie die beschädigten Dateien angeben, die Sie reparieren und speichern möchten. Hier können Sie beliebig viele Dateien aus verschiedenen Ordnern zur Liste der wiederherstellbaren Dateien hinzufügen, Dateien aus der Liste entfernen oder die Liste vollständig löschen. Sie können auch auswählen, wie die Liste der ausgewählten Dateien angezeigt werden soll („Symbole“, „Liste“, „Tabelle“) und die Dateisortierung verwenden.

Wählen Sie dann die Art der Analyse für die wiederhergestellten Daten aus. In den meisten Fällen reicht es aus, die Funktion „Analyse“ zu verwenden, mit der Sie Schäden an der logischen Struktur von Dateien schnell beseitigen können.

Die zweite Art der Datenverarbeitung – „Recherche“ – kommt dann zum Einsatz, wenn eine genauere Analyse der Dateistruktur erforderlich ist. Dies nimmt viel mehr Zeit in Anspruch, ermöglicht Ihnen jedoch die Wiederherstellung selbst stark beschädigter Daten, indem die größtmögliche Menge an Informationen aus den Originaldateien erhalten bleibt.

Im nächsten Fenster fordert Sie der Assistent auf, den Pfad zum Speichern der wiederhergestellten Daten (den Ordner, in dem sie gespeichert werden) auszuwählen und einige weitere Prinzipien zum Speichern der korrigierten Dateien auf dem ausgewählten Medium festzulegen.

Stellen Sie beschädigte Dateien mit der Vorschau wieder her

Wenn Sie sich „manuell“ entscheiden, ohne einen Assistenten zu verwenden, wählen Sie auf der linken Seite des Hauptprogrammfensters den Ordner aus, in dem sich die benötigten Dateien befinden. Auf der rechten Seite wird der gesamte Inhalt des Verzeichnisses angezeigt und Sie können die darin benötigten Dateien auswählen.

Wenn die Datei beschädigt ist, kann das Programm ihren Inhalt nicht anzeigen. Um die Struktur wiederherzustellen, verwenden Sie das Menü „Datei“ – „Analyse“ oder „Datei“ – „Recherche“ im Hauptmenü des Programms. Nach Ausführung dieser Funktionen stehen die Dateien zur Vorschau zur Verfügung.

Sie haben viel Zeit damit verbracht, einen Bericht zu erstellen, aber dieser wurde durch einen heimtückischen Virus beschädigt? Oder Schadsoftware Zugriff auf wertvolle Dateien blockiert? Hören Sie auf, in Panik zu geraten! Die Situation kann verbessert werden. Wir werden in diesem Artikel mehr darüber sprechen.

So neutralisieren Sie den Virus und speichern die Datei

Jeder moderne Benutzer weiß genau: Nach dem Kauf eines Computers muss als Erstes ein Antivirenprogramm installiert werden. Auf diese Weise reduzieren Sie das Risiko einer Systeminfektion und einer Beschädigung der auf Ihrer Festplatte gespeicherten Dateien erheblich.

Wenn eine Bedrohung erkannt wird, benachrichtigt Sie die Software über die Bedrohung und bietet an, die Datei zu desinfizieren, zu löschen, in die Quarantäne zu verschieben oder nichts zu unternehmen. Für Benutzer scheint die Antwort offensichtlich zu sein: Die Datei muss desinfiziert werden. Leider meistert dieser Zauberknopf die Aufgabe nicht immer. In einer solchen Situation bietet das Antivirenprogramm an, eine andere Lösung zu wählen. 70 % der Benutzer entscheiden sich für das Löschen und stellen fest, dass Dateien gelöscht oder beschädigt sind.

Tatsache ist, dass ein Antivirenprogramm beim Scannen eines Computers einzelne Dateien als „verdächtig“ markieren und sie zusammen mit dem Virus löschen kann. Nicht immer gelöschte Informationen stellt sich als tatsächlich infiziert heraus: Meistens werden Dateien aufgrund von System- oder Registrierungsfehlern auf die schwarze Liste gesetzt.

Wenn auf Ihrem Monitor Informationen über eine erkannte Bedrohung angezeigt werden, analysieren Sie zunächst die Situation und ergreifen Sie erst dann Maßnahmen. Die beste Option wäre, die potenziell gefährliche Datei unter Quarantäne zu stellen. Dann wird es vor der Interaktion mit anderen Programmen geschützt. Dadurch wird verhindert, dass sich die Infektion im gesamten System ausbreitet. Wenn Sie später feststellen, dass die Gefahr von einem anderen Objekt ausgeht, können Sie die Datei jederzeit herausziehen.

Stellen Sie gelöschte oder beschädigte Dateien schnell wieder her

Wenn die Datei gelöscht oder beschädigt ist, können Sie sie mit einer speziellen Software wiederherstellen. Im Internet finden Sie Hunderte von Anwendungen, die dieses Problem lösen sollen. Einige von ihnen unterstützen nur die Arbeit mit Fotos, andere sind auf die Rückgabe von Textdokumenten spezialisiert, es gibt aber auch All-in-One-Programme. Zum Beispiel „PHOENIX“. Dies wird die Aufgabe perfekt erledigen und gelöschte Daten in wenigen Minuten finden. Es spielt keine Rolle, welche Art von Daten verloren gegangen sind: Textdokumente, Tabellenkalkulationen, Präsentationen, Videos, Audiodateien, Fotos – PHOENIX unterstützt die Arbeit mit allen modernen Arten von Informationen.