Cómo recuperar archivos después de cifrar el virus ransomware WannaCry

Buenas tardes, Habrazhiteliki. Se ha escrito mucho sobre Habré sobre cómo protegerse de WannaCry. Pero por alguna razón, en ninguna parte se explicaba cómo devolver datos cifrados. Quiero llenar este vacío. Y arroje un poco de luz sobre cómo lo hicimos en nuestra “conocida” empresa de logística. Esto es más bien una instrucción para nuestros administradores de seguridad de la información.

Recuperación después del cifrado de datos

Esto no es descifrado, sino recuperación. Y solo funciona si la instantánea está habilitada en Windows, es decir. Los datos se pueden restaurar desde los propios puntos de restauración de Windows.

Para hacer esto, puede utilizar la utilidad ShadowExplorer: es gratuita y le permite restaurar archivos desde puntos de recuperación. Los puntos de restauración se crean cada vez que se actualiza el sistema y los antiguos se sobrescriben con otros nuevos. La cantidad de puntos depende del espacio asignado para los puntos de recuperación. En promedio, en un Windows promedio se almacenan entre 5 y 6 de ellos.

Seleccione un punto de recuperación y podrá exportar archivos y directorios a la ubicación que necesite:

Seleccione aquellos archivos que aún no estén cifrados y expórtelos a la ubicación que necesite.

(En algunos casos, cuando la actualización ya pasó, es posible que esos puntos de recuperación se sobrescriban cuando los archivos aún no estaban cifrados. También es posible que algunos de los datos ya estén cifrados en los puntos de recuperación, pero otros aún no. Necesitamos restaurar sólo lo que se puede restaurar.)

Esto es, en principio, todo lo que se requiere para la restauración cuando sea posible.

¡Importante! Después de restaurar archivos, debe borrar los puntos de recuperación donde los datos ya estaban cifrados. Se ha observado que aquí es donde el virus se recupera después de la limpieza.

Recuperar datos, así como neutralizar y eliminar virus:

1. Desconecta tu computadora de la red
2. A continuación, debe utilizar la utilidad wann_kill_v_(número de versión): esta utilidad finaliza el proceso del virus. Las propias firmas de virus permanecen almacenadas en el sistema. Hacemos esto porque cuando lleva una unidad flash a la computadora que necesita ser desinfectada, el virus la cifra. Es importante ejecutar esta utilidad antes de que el virus llegue a la unidad flash.

3. Limpie su computadora usando DrWeb CureIt (aquí el virus se elimina de la computadora)
4. Recupere los datos que necesita como se describe arriba " Después del cifrado de datos»
5. (Sólo después de la recuperación de datos) Destruya los puntos de recuperación, porque aquí es donde el virus se restaura después de la limpieza.

Proteccion del sistema:

Melodía:

Borrar.

6. Luego implemente el parche KB4012212, cerrando así la vulnerabilidad de red MS17-010.
7. Encienda la red e instale (o actualice) el software antivirus.

Básicamente, así es como luché contra el virus Wanna Cry.

Etiquetas: WannaCry, Descifrado

Leer:

Formateo a través de BIOS Poner las cosas en orden: limpiar el disco duro en Windows 10 Wanna Cry “gritó” al mundo entero: cómo solucionar el problema del virus Correo temporal durante 10 minutos sin registro ¿Qué hacer y cómo desbloquear?