So stellen Sie Dateien nach der Verschlüsselung des WannaCry-Ransomware-Virus wieder her

Guten Tag, Habrazhiteliki. Auf Habré wurde viel darüber geschrieben, wie man sich vor WannaCry schützen kann. Aber aus irgendeinem Grund wurde nirgends erklärt, wie man verschlüsselte Daten zurückgibt. Ich möchte diese Lücke füllen. Und werfen Sie ein wenig Licht darauf, wie wir das in unserem „bekannten“ Logistikunternehmen geschafft haben. Dies ist eher eine Anweisung für unsere Informationssicherheitsadministratoren.

Wiederherstellung nach Datenverschlüsselung

Dabei handelt es sich nicht um eine Entschlüsselung, sondern um eine Wiederherstellung. Und es funktioniert nur, wenn das Schattenkopieren in Windows aktiviert ist, d. h. Daten können von Windows-Wiederherstellungspunkten selbst wiederhergestellt werden.

Dazu können Sie das Dienstprogramm ShadowExplorer verwenden – es ist kostenlos und ermöglicht Ihnen die Wiederherstellung von Dateien von Wiederherstellungspunkten. Bei jeder Systemaktualisierung werden Wiederherstellungspunkte erstellt und alte durch neue überschrieben. Die Anzahl der Punkte hängt vom für Wiederherstellungspunkte zugewiesenen Speicherplatz ab. Im Durchschnitt werden 5-6 davon auf einem durchschnittlichen Windows gespeichert.

Wählen Sie einen Wiederherstellungspunkt und Sie können Dateien und Verzeichnisse an den gewünschten Speicherort exportieren:

Wählen Sie die Dateien aus, die noch nicht verschlüsselt sind, und exportieren Sie sie an den gewünschten Speicherort.

(In einigen Fällen, wenn das Update bereits abgeschlossen ist, werden diese Wiederherstellungspunkte möglicherweise überschrieben, wenn die Dateien noch nicht verschlüsselt waren. Es ist auch möglich, dass einige der Daten in den Wiederherstellungspunkten bereits verschlüsselt sind, andere jedoch noch nicht. Sie Es muss nur das wiederhergestellt werden, was wiederhergestellt werden kann.)

Das ist im Prinzip alles, was für eine Wiederherstellung nach Möglichkeit erforderlich ist.

Wichtig! Nach der Wiederherstellung der Dateien müssen Sie die Wiederherstellungspunkte löschen, an denen die Daten bereits verschlüsselt waren. Es wurde festgestellt, dass sich der Virus hier nach der Reinigung selbst wiederherstellt.

Daten wiederherstellen sowie den Virus neutralisieren und entfernen:

1. Trennen Sie Ihren Computer vom Netzwerk
2. Als nächstes müssen Sie das Dienstprogramm wann_kill_v_(Versionsnummer) verwenden – dieses Dienstprogramm beendet den Virenprozess. Die Virensignaturen selbst bleiben im System gespeichert. Wir machen das, weil Wenn Sie ein Flash-Laufwerk an den zu desinfizierenden Computer bringen, verschlüsselt der Virus das Flash-Laufwerk. Es ist wichtig, dieses Dienstprogramm auszuführen, bevor der Virus auf das Flash-Laufwerk gelangt.

3. Reinigen Sie Ihren Computer mit DrWeb CureIt (hier wird der Virus selbst vom Computer entfernt).
4. Stellen Sie die benötigten Daten wie oben beschrieben wieder her. Nach Datenverschlüsselung»
5. (Erst nach Datenwiederherstellung) Zerstören Sie Wiederherstellungspunkte, da sich der Virus dort nach der Säuberung selbst wiederherstellt.

Systemschutz:

Melodie:

Löschen.

6. Rollen Sie anschließend den Patch KB4012212 aus und schließen Sie damit die Netzwerkschwachstelle MS17-010
7. Schalten Sie das Netzwerk ein und installieren (oder aktualisieren) Sie die Antivirensoftware.

So habe ich im Grunde den Wanna-Cry-Virus bekämpft.

Schlagworte: WannaCry, Entschlüsselung

Lesen:

Formatierung über BIOS Für Ordnung sorgen – Festplatte reinigen in Windows 10 Wanna Cry hat der ganzen Welt „geschrien“ – wie man das Virenproblem löst Temporäre Mail für 10 Minuten ohne Registrierung Was tun und wie entsperren?