اخیراً مرکز امنیت اینترنت 360 نوع جدیدی از ویروس باج افزار را کشف کرده است که هم مشاغل و هم افراد را در بسیاری از کشورها و مناطق هدف قرار می دهد. 360 در 12 مه پس از کشف یک هشدار اضطراری به موقع صادر کرد تا خطرات آتی را به کاربران یادآوری کند. این باج افزار با سرعت زیادی در سراسر جهان در حال گسترش است. طبق آمار ناقص، ده ها هزار دستگاه در 99 کشور تنها در چند ساعت پس از انفجار آلوده شدند و این کرم شبکه همچنان در تلاش برای گسترش نفوذ خود است.

به طور معمول، یک ویروس باج افزار یک برنامه مخرب با هدف آشکار اخاذی است. فایل های قربانی را با استفاده از یک الگوریتم رمزنگاری نامتقارن رمزگذاری می کند، آنها را غیرقابل دسترس می کند و برای رمزگشایی آنها باج می خواهد. اگر باج پرداخت نشود، فایل ها قابل بازیابی نیستند. این گونه جدید با اسم رمز WanaCrypt0r شناخته می شود. چیزی که او را بسیار کشنده می کند استفاده از ابزار هک "EternalBLue" است که از NSA به سرقت رفته بود. این همچنین توضیح می دهد که چرا WanaCrypt0r توانست به سرعت در سراسر جهان گسترش یابد و در مدت زمان بسیار کوتاهی خسارات زیادی به بار آورد. پس از پیشرفت کرم شبکه در 12 می، بخش Core Security در مرکز امنیت اینترنت 360 نظارت کامل و تجزیه و تحلیل عمیق را انجام داد. اکنون می‌توانیم مجموعه‌ای از راه‌حل‌های شناسایی، حفاظت و بازیابی اطلاعات را در برابر WanaCrypt0r منتشر کنیم.

360 Helios Team یک تیم تحقیقاتی و تحلیلی APT (Advanced Persistent Attack) در بخش Core Security است که عمدتاً به بررسی حمله APT و پاسخ به رویداد تهدید اختصاص دارد. محققان امنیتی مکانیسم ویروس ها را به دقت تجزیه و تحلیل کرده اند تا موثرترین و دقیق ترین روش برای بازیابی فایل های رمزگذاری شده را بیابند. با استفاده از این روش، 360 می‌تواند به اولین ارائه‌دهنده امنیتی تبدیل شود که یک ابزار بازیابی اطلاعات - "بازیابی فایل آلوده با باج‌افزار 360" را منتشر می‌کند تا به مشتریان خود کمک کند تا فایل‌های آلوده را به سرعت و به طور کامل بازیابی کنند. امیدواریم این مقاله به شما در درک ترفندهای این کرم و همچنین بحث گسترده تر در مورد بازیابی فایل های رمزگذاری شده کمک کند.

فصل 2 تجزیه و تحلیل فرآیندهای رمزگذاری اساسی

این کرم ماژول رمزگذاری را در حافظه قرار می دهد و DLL را مستقیماً در حافظه بارگذاری می کند. سپس DLL یک تابع TaskStart را صادر می کند که باید برای فعال کردن کل فرآیند رمزگذاری استفاده شود. DLL به صورت پویا به سیستم فایل و توابع API مربوط به رمزگذاری برای جلوگیری از شناسایی استاتیک دسترسی دارد.

1-مرحله اولیه

ابتدا از "SHGetFolderPathW" برای دریافت مسیرهای دسکتاپ و پوشه فایل استفاده می کند. سپس تابع "10004A40" را فراخوانی می کند تا مسیر دسکتاپ و پوشه فایل های دیگر کاربران را دریافت کند و تابع EncrytFolder را فراخوانی می کند تا پوشه ها را به صورت جداگانه رمزگذاری کند.

همه درایوها را دو بار از درایور Z تا C اسکن می کند. اولین اسکن برای اجرای همه درایوهای محلی (به جز درایور-CD) است. اسکن دوم تمام دستگاه های ذخیره سازی موبایل را بررسی می کند و تابع EncrytFolder را برای رمزگذاری فایل ها فراخوانی می کند.

2. تراورس فایل

تابع "EncryptFolder" یک تابع بازگشتی است که می تواند اطلاعات مربوط به فایل ها را با دنبال کردن روش زیر جمع آوری کند:

مسیرهای فایل یا پوشه ها را در طول فرآیند متقاطع حذف کنید:

یک پوشه جالب به نام این پوشه در برابر باج افزار محافظت می کند وجود دارد. تغییر آن باعث کاهش حفاظت می شود." وقتی این کار را انجام می دهید، متوجه می شوید که با پوشه حفاظتی نرم افزار ضد باج افزار مطابقت دارد.

باج‌افزار هنگام خزیدن فایل‌ها، اطلاعات فایل‌ها مانند اندازه فایل‌ها را جمع‌آوری می‌کند و سپس فایل‌ها را به دسته‌بندی می‌کند. انواع متفاوتمطابق با گسترش آنها، پیروی از قوانین خاصی:

لیست انواع پسوند 1:

لیست انواع پسوند 2:

3. اولویت رمزگذاری

برای رمزگذاری فایل های مهم در سریع ترین زمان ممکن، WanaCrypt0r یک صف اولویت پیچیده ایجاد کرده است:

صف اولویت:

فایل‌های نوع 2 را رمزگذاری کنید که با فهرست پسوند 1 نیز مطابقت دارند. اگر فایل کوچک‌تر از 0X400 باشد، اولویت رمزگذاری کاهش می‌یابد.
II. فایل‌های نوع 3 را که با فهرست پسوند 2 نیز مطابقت دارند، رمزگذاری کنید. اگر فایل کوچک‌تر از 0X400 باشد، اولویت رمزگذاری کاهش می‌یابد.
III. فایل های باقی مانده (کمتر از 0x400) و فایل های دیگر را رمزگذاری کنید.

4. منطق رمزگذاری

کل فرآیند رمزگذاری با استفاده از RSA و AES تکمیل می شود. اگرچه فرآیند رمزگذاری RSA از Microsoft CryptAPI استفاده می کند، کد AES به صورت ایستا در یک DLL کامپایل می شود. فرآیند رمزگذاری در شکل زیر نشان داده شده است:

لیست کلیدهای استفاده شده:

فرمت فایل پس از رمزگذاری:

لطفاً توجه داشته باشید که در طول فرآیند رمزگذاری، باج افزار به طور تصادفی برخی از فایل ها را برای رمزگذاری با استفاده از داخلی انتخاب می کند. کلید عمومی RSA چندین فایل را ارائه می دهد که قربانیان می توانند به صورت رایگان رمزگشایی کنند.

مسیر فایل های رایگان را می توانید در فایل "f.wnry" پیدا کنید.

5. پر کردن اعداد تصادفی

پس از رمزگذاری، WanaCrypt0r فایل‌هایی را که مهم می‌داند با اعداد تصادفی پر می‌کند تا زمانی که فایل را به طور کامل از بین ببرد، سپس فایل‌ها را برای حذف به یک فهرست فایل موقت منتقل می‌کند. با انجام این کار، بازیابی فایل ها را برای ابزارهای بازیابی فایل بسیار دشوار می کند و در عین حال می تواند روند رمزگذاری را سرعت بخشد.

فایل های تکمیل شده باید شرایط زیر را داشته باشند:

- در دایرکتوری مشخص شده (رومیزی، سند من، پوشه کاربر)

- حجم فایل کمتر از 200 مگابایت است

- پسوند فایل در لیست انواع پسوند 1 قرار دارد

منطق پر کردن فایل:

- اگر فایل کمتر از 0x400 باشد، با اعداد تصادفی به همان طول پوشانده می شود.

- اگر فایل بزرگتر از 0x400 باشد، آخرین 0x400 با اعداد تصادفی پوشانده می شود.

- نشانگر فایل را به هدر فایل منتقل کنید و 0x40000 را به عنوان بلوک داده تنظیم کنید تا فایل را تا انتها با اعداد تصادفی پوشش دهد.

6. حذف فایل ها

WanaCrypt0r ابتدا فایل ها را به یک پوشه موقت منتقل می کند تا یک فایل موقت ایجاد کند و سپس آن را به روش های مختلف حذف می کند.

وقتی از درایوها عبور می کند تا فایل ها را رمزگذاری کند، یک فایل موقت به نام "$RECYCLE + auto increment + .WNCYRT" (به عنوان مثال: "D:\$RECYCLE\1.WNCRYT") روی درایو فعلی ایجاد می کند. . به خصوص اگر درایو فعلی یک درایو سیستم باشد (مانند Driver-C)، از دایرکتوری موقت سیستم استفاده می کند.

متعاقباً، این فرآیند taskdl.exe را اجرا می کند و فایل های موقت را در یک بازه زمانی ثابت حذف می کند.

فصل 3 امکان بازیابی اطلاعات

در تجزیه و تحلیل منطق اجرای آن، متوجه شدیم که این کرم فایل‌هایی را که شرایط مشخص شده را برآورده می‌کنند با اعداد تصادفی یا 0x55 بازنویسی می‌کند تا ساختار فایل‌ها را از بین ببرد و از بازیابی آنها جلوگیری کند. اما این عملیات فقط برای فایل های خاص یا فایل هایی با پسوند مشخص پذیرفته می شود. این بدان معناست که هنوز فایل های زیادی وجود دارند که رونویسی نشده اند و فضایی برای بازیابی فایل ها باقی می ماند.

در طول فرآیند حذف، کرم فایل‌های منبع را با فراخوانی تابع MoveFileEx به پوشه فایل‌های موقت منتقل کرد. در نهایت فایل های موقت به طور انبوه حذف می شوند. در طی فرآیند فوق، فایل های منبع ممکن است تغییر کنند، اما فعلی نرم افزاربازیابی اطلاعات موجود در بازار از این موضوع آگاه نیست، بنابراین تعداد زیادی فایل را نمی توان با موفقیت بازیابی کرد. نیاز به فایل های بازیابی برای قربانیان تقریبا غیرممکن است.

برای فایل‌های دیگر، کرم به سادگی دستور «حرکت و حذف» را اجرا می‌کند. از آنجایی که فرآیندهای حذف فایل ها و انتقال فایل ها جدا هستند، این دو رشته با یکدیگر رقابت خواهند کرد که ممکن است به دلیل تفاوت در جابجایی فایل ها با شکست مواجه شود. محیط سیستمکاربر. با این کار فایل مستقیماً در مکان فعلی آن حذف می شود. در این صورت احتمال بازیابی فایل زیاد است.

https://360totalsecurity.com/s/ransomrecovery/

با استفاده از روش های بازیابی ما، درصد زیادی از فایل های رمزگذاری شده را می توان به طور کامل بازیابی کرد. اکنون، نسخه به روز شده 360 ابزار بازیابی فایل در پاسخ به این نیاز برای کمک به ده ها هزار قربانی برای کاهش ضرر و زیان و عواقب آن توسعه یافته است.

14 می 360 اولین فروشنده امنیتی است که ابزار بازیابی فایل را منتشر کرده است که بسیاری از فایل ها را از باج افزار ذخیره کرده است. این یک نسخه جدیدگام دیگری در بهره برداری از آسیب پذیری های منطقی WanaCrypt0r برداشت. می تواند ویروس را برای جلوگیری از عفونت بیشتر حذف کند. با استفاده از الگوریتم‌های متعدد، می‌تواند اتصالات پنهانی بین فایل‌های قابل بازیابی رایگان و فایل‌های رمزگشایی شده برای مشتریان پیدا کند. این سرویس بازیابی همه‌جانبه می‌تواند آسیب‌های ناشی از حمله باج‌افزار را کاهش دهد و از امنیت داده‌های کاربران محافظت کند.

فصل 4 نتیجه گیری

شیوع انبوه و گسترش کرم‌های WannaCry از طریق استفاده از MS17-010 که باعث می‌شود علاوه بر عملکرد یک باج‌افزار عمومی، قابلیت تکثیر خود و انتشار فعال را داشته باشد. جدا از بار حمله، ساختار فنی باج افزار مهمترین نقش را در حملات ایفا می کند.باج افزار با استفاده از الگوریتم رمزنگاری نامتقارن RSA-2048 کلید AES را رمزگذاری می کند. سپس هر فایل با استفاده از یک الگوریتم رمزگذاری متقارن تصادفی AES-128 رمزگذاری می شود. این بدان معناست که با تکیه بر محاسبات و روش های موجود، RSA-2048 و AES-128 را بدون هیچ گونه باز یا باز رمزگشایی می کنند. کلیدهای خصوصیتقریبا غیرممکن. با این حال، نویسندگان برخی از خطاها را در فرآیند رمزگذاری ایجاد می‌کنند که امکان بازیابی را تضمین و افزایش می‌دهد. اگر اقدامات با سرعت کافی انجام شوند، بیشتر داده ها را می توان دوباره ذخیره کرد.

علاوه بر این، از آنجایی که پول باج در بیت‌کوین‌های ناشناس پرداخت می‌شود، که هر کسی می‌تواند آدرس آن را بدون گواهی واقعی دریافت کند، شناسایی مهاجم در آدرس‌ها غیرممکن است، چه رسد به اینکه بین حساب‌های مختلف صاحب آدرس یکسان. بنابراین، به دلیل اتخاذ یک الگوریتم رمزگذاری نشکن و بیت کوین های ناشناس، به احتمال زیاد این نوع شیوع باج افزار سودآور برای مدت طولانی ادامه خواهد داشت. همه باید مراقب باشند.

تیم هلیوس 360

360 Helios Team یک تیم تحقیقاتی APT (Advanced Persistent Attack) در Qihoo 360 است.

این تیم به بررسی حملات APT، پاسخ به حوادث تهدید، و تحقیق در مورد زنجیره های صنعتی اقتصاد زیرزمینی اختصاص دارد.

از زمان آغاز به کار خود در دسامبر 2014، این تیم با موفقیت یک پایگاه داده عظیم 360 را ادغام کرده و یک فرآیند برگشت و همبستگی سریع ایجاد کرده است. تا به امروز بیش از 30 APT و گروه اقتصاد زیرزمینی شناسایی و شناسایی شده اند.

360 Helios همچنین راه حل های ارزیابی تهدید و پاسخ را برای شرکت ها ارائه می دهد.

گزارش های عمومی

مخاطب
پست الکترونیک پست الکترونیکی: [ایمیل محافظت شده]
گروه وی چت: 360 تیم هلیوس
لطفاً کد QR زیر را دانلود کنید تا ما را در ویچت دنبال کنید!

نحوه بازیابی فایل های پاک شده در نتیجه را بخوانید حمله ویروسفایل ها، با استفاده از راه حل های داخلی ویندوز یا برنامه های شخص ثالث. نحوه بازیابی فایل های رمزگذاری شده توسط ویروس آیا کامپیوتر شما مورد حمله ویروس قرار گرفته است؟ آیا می خواهید فایل های حذف شده به دلیل حملات مخرب را بازیابی کنید؟ ما سعی خواهیم کرد در این مقاله در مورد روش های استاندارد برای اصلاح وضعیت غیرمنتظره و گزینه های مختلف برای بازیابی فایل های پاک شده صحبت کنیم.

محتوا:

معرفی

با توسعه فناوری‌ها و وسایل ارتباطی الکترونیکی، گستره و حجم اطلاعاتی که کاربران در هنگام انجام اقدامات مختلف در ارتباط مستقیم با فعالیت‌های حرفه‌ای و تولیدی و با هدف فراهم کردن ارتباطات، ارتباطات، بازی‌ها و سرگرمی‌های مورد استفاده قرار می‌دهند. به طور قابل توجهی گسترش یافته است.

دستگاه‌های رایانه‌ای با طرح‌های مختلف به اعمال کنترل کامل بر جریان‌های داده‌های ورودی و خروجی، انجام پردازش فوری، بدون توجه به حجم نهایی، و تضمین ذخیره‌سازی ایمن کمک می‌کنند.

کامپیوترها و لپ‌تاپ‌های شخصی ثابت، از جمله هر یک از ترکیب‌های متغیر آنها (اولترابوک، نت‌بوک، لپ‌تاپ قابل تبدیل، نت‌تاپ)، تبلت، تلفن‌های هوشمند و ارتباطات و غیره. به طور کامل با نیازهای روزافزون کاربران در هنگام کار با اطلاعات مطابقت داشته باشد و آخرین استانداردهای اطلاعاتی را رعایت کند.

پرکاربردترین دستگاه‌های الکترونیکی در میان کاربران رایانه‌های شخصی و لپ‌تاپ‌ها هستند. محتوای داخلی غنی دستگاه های کامپیوتری (پردازنده های فوق سریع، بسیار کاربردی مادربردهانوارهای حافظه پیشرونده، دستگاه های ذخیره سازی خازنی و غیره) و نرم افزارهای مدرن با کارایی بالا به درستی به آنها اجازه می دهد تا موقعیت پیشرو در پردازش و ذخیره سازی اطلاعات در جهان را به خود اختصاص دهند.

از نظر گستردگی توزیع و تعداد دستگاه های مورد استفاده، گوشی های هوشمند و ارتباطات به آنها نزدیک می شوند. به لطف تحرک بالا، اندازه مینیاتوری، عملکرد نسبتاً بالا و طیف گسترده ای از برنامه های کاربردی موجود– گوشی‌های هوشمند سعی می‌کنند هنگام انجام برخی اقدامات، رایانه‌ها و لپ‌تاپ‌ها را مطابقت داده و در صورت امکان جایگزین کنند.

توسعه اطلاعات بین المللی شبکه کامپیوتری "اینترنت"گسترش و استفاده از دستگاه های مختلف رایانه ای توسط کاربران برای حل هر گونه مشکلی بدون اینکه لزوماً به آن گره خورده باشند را تسریع کرد دستگاه خاصیا محل کار استفاده از پایگاه داده گسترده، استفاده از راه دور و پردازش اطلاعات به طور قابل توجهی دستگاه های رایانه ای را محبوب کرده و روند انتقال به ذخیره اطلاعات در حالت دیجیتال را تسریع کرده است.

با انتقال گسترده به اطلاعات دیجیتال، اکثر انواع داده های کاربر (شخصی، اجتماعی، عمومی و تجاری) توسط دستگاه های مختلف رایانه ای ذخیره، پردازش، انتقال و ارائه می شوند. در این راستا، مهم ترین نیاز برای همه دستگاه ها، درجه بالای اجباری امنیت داده ها و محافظت از آنها در برابر اقدامات غیرمجاز اشخاص ثالث است.

یکی از رایج ترین انواع اثرات مخرب بر روی داده های کاربر شامل حملات ویروس از نرم افزارهای مخرب است.

دامنه عمل و عملکرد چنین برنامه هایی به طور غیر معمول گسترده است و به لطف بین المللی است شبکه اطلاعات "اینترنت"، توزیع آنها به مقیاس جهانی رسیده است.

آلوده كردن دستگاه كامپيوتر كاربر به ويروس مي تواند منجر به عواقب نامطلوبي شود كه متداول ترين آنها حذف فايل هاي كاربر است. نحوه بازیابی فایل ها پس از قرار گرفتن در معرض برنامه های ویروسی در مقاله ما بیشتر مورد بحث قرار خواهد گرفت.

اکثر کاربران رایانه پیامدهای آن را شنیده اند و بسیاری نیز مستقیماً تجربه کرده اند تاثیر منفیویروس های رایانه ای، تأثیر آنها بر پرونده های کاربر و عملکرد کلی رایانه شخصی به عنوان یک کل. حذف یا آسیب عمدی فایل های کاربر، مسدود کردن دسترسی به عناصر فردی سیستم عاملیا کامپیوتر، رمزگذاری انتخابی فایل ها و تغییر ساختار آنها، پاک کردن یا حذف جدول پارتیشن، انتقال کنترل رایانه شخصی به مهاجمان، استفاده از قابلیت های رایانه کاربر برای هک از راه دور یا سایر اقدامات مخرب، سرقت اطلاعات شخصی، ارسال هرزنامه پیام ها و غیره - فقط بخشی از تمام اقداماتی که می تواند در نتیجه آلوده شدن یک دستگاه کامپیوتری به ویروس باشد.

این برنامه برای بازیابی اطلاعات از هارد و درایوهای خارجیو همچنین هر وسیله ذخیره سازی دیگری. مجموعه ای از الگوریتم های پیشرفته را ترکیب می کند که به شما امکان می دهد اطلاعات حذف شده را برای بازیابی بعدی آن تجزیه و تحلیل و جستجو کنید، داده ها را پس از خرابی سیستم بازگردانید و خطاهای مختلفسیستم‌ها، اطلاعات را از دیسک‌های آسیب‌دیده، غیرقابل خواندن، غیرفعال یا خراب خوانده و سپس دسترسی به فایل‌های گم شده یا غیرقابل دسترس را فراهم می‌کنند. از طیف کامل فایل سیستم های مورد استفاده در سیستم عامل پشتیبانی می کند "پنجره ها"و هر گونه خطا در ساختار منطقی را تصحیح می کند هارد دیسکبرای بازگرداندن ایمن محتویات گم شده

مزیت جداگانه این برنامه امکان بازیابی اطلاعات آسیب دیده، آسیب دیده یا مسدود شده در نتیجه حملات ویروس است. به لطف مجموعه ای از الگوریتم های نوآورانه، امکان بازگرداندن فایل ها پس از هر حمله ویروس مخربی که منجر به از بین رفتن اطلاعات کاربر یا عدم دسترسی به آن می شود، وجود دارد.

فایل نصب برنامه را از سایت رسمی شرکت دانلود کنید نرم افزار هتمنو اجرای آن را آغاز کنید. یک جادوگر گام به گام نصب نرم افزار، پس از تنظیم پارامترهای فردی، مانند تعیین مسیر نصب یا ایجاد یک میانبر در دسکتاپ، به شما این امکان را می دهد که به سرعت و با موفقیت برنامه را برای استفاده بیشتر بر روی رایانه شخصی کاربر نصب کنید.

پس از اتمام نصب، باز کنید برنامه نصب شده. ابزارهای داخلی برنامه، تجزیه و تحلیل اولیه سیستم را انجام می دهند و هر چیزی که به آن متصل است را نمایش می دهد کامپیوتر شخصی، دستگاه های ذخیره سازی داده ها.

یک پارتیشن دیسک سخت یا کل درایو فیزیکی را با دوبار کلیک کردن بر روی نماد آن در پنجره برنامه انتخاب کنید. این برنامه راه اندازی جادوگر بازیابی فایل را فعال می کند، که کاربران را وادار می کند تا در مورد نوع تجزیه و تحلیل سیستم مورد نیاز در یک لحظه خاص تصمیم بگیرند. در صورت از دست رفتن فایل به دلیل حمله ویروس، گزینه تجزیه و تحلیل کامل را انتخاب کنید تا با قرار دادن یک نشانگر (نقطه) در مقابل سلول مربوطه، تمام اطلاعات ممکن را روی دیسک انتخاب شده جستجو و بازیابی کنید. "تحلیل کامل (جستجوی تمام اطلاعات ممکن)". پس از انتخاب تجزیه و تحلیل، روی دکمه کلیک کنید "به علاوه"و روند بازیابی را آغاز کنید.

بسته به حجم داخلی درایو، میزان آسیب به اطلاعات، سیستم فایل و تعدادی دیگر پارامترهای اضافی، روند تجزیه و تحلیل و جستجوی فایل های حذف شده می تواند زمان های مختلفی را ببرد: از چند دقیقه تا چند ساعت. نوار پیشرفت خطی درصد تکمیل فرآیند بازیابی کلی را به کاربران اطلاع می‌دهد و همچنین زمان تخمینی تکمیل کل را نمایش می‌دهد.

در پایان فرآیند بازیابی، کل لیست فایل ها و پوشه های شناسایی شده در پنجره برنامه ارائه می شود که رابط کاربری آن تا حد امکان به ظاهر کاوشگر فایل نزدیک است. "پنجره ها"برای راحتی کاربران نهایی با کلیک بر روی هر فایل، کاربران می توانند محتویات آن را مشاهده کنند که در یک پنجره پیش نمایش نمایش داده می شود. انتخاب فایل های لازم و قرار دادن آنها در پنجره "لیست بازیابی"با کشیدن عادی، باید دکمه را فشار دهید "بازگرداندن"، بر روی نوار منوی اصلی برنامه قرار گرفته و در فرم ارائه شده است شناور نجات، برای ذخیره بعدی داده های علامت گذاری شده.

دستیار بازیابی فایل از کاربران می خواهد که یکی از چهار مورد را انتخاب کنند راه های ممکنذخیره موارد انتخاب شده: ذخیره در HDDیا هر وسیله ذخیره سازی ثابت یا قابل جابجایی دیگر، ضبط روشن است دیسک های نوری، ايجاد كردن "تصویر ISO"فایل های بازیابی شده یا آپلود داده ها در "پروتکل FTP". با تعیین چندین پارامتر ضروری اضافی، به عنوان مثال، مسیر ذخیره فایل های بازیابی شده، کاربران قادر خواهند بود اطلاعات خود را با توجه به شرایط انتخاب شده ذخیره کنند.

اکنون می توانید پوشه را با فایل های بازیابی شده باز کنید و عملکرد کامل آنها را بررسی کنید.

امروز، زمانی که توسعه فناوری اطلاعاتبا سرعت فوق العاده ای در حال پیشرفت است، تقریباً هر کاربر رایانه از خطر آلوده شدن به ویروس، اهمیت از بین بردن آن و حفظ سیستم در سطح مناسب امنیتی آگاه است. با این حال، هنگام تمیز کردن سیستم از عفونت های مخرب، نکات ظریفی وجود دارد.

هنگامی که سیستم به ویروس آلوده می شود، شروع به تکثیر می کند و به داده های کاربر و سیستم عامل به طور کلی آسیب می رساند و بر عملکرد آن تأثیر منفی می گذارد. از همین رو بهترین راه حلاز ورود ویروس به سیستم جلوگیری می کند و از یک برنامه ضد ویروس استفاده می کند که سطح محافظت قدرتمندی در برابر نفوذ بدافزارهای مخرب دارد.

با این حال، اگر عفونت قبلاً رخ داده باشد، میل طبیعی به پاکسازی سریع سیستم عامل از ویروس نیز می تواند عواقب منفی داشته باشد. هنگام حذف ویروس، یک برنامه آنتی ویروس می تواند برخی از فایل های مفید را نیز مطابق با الگوریتم مورد استفاده از رایانه کاربر حذف کند. در نتیجه، ممکن است منجر به آسیب بیشتر و حذف فایل‌های بیشتر از رایانه کاربر یا از دست رفتن دائمی برخی از داده‌ها شود. بنابراین، بهتر است قبل از شروع فرآیند پاکسازی دیسک برای ویروس ها، فرآیند بازیابی اطلاعات را به طور کامل کامل کنید.

نتیجه

استفاده گسترده از دستگاه های کامپیوتری، سهولت استفاده از آنها و گسترده است عملکردموقعیت پیشرو در زمینه پردازش و ذخیره اطلاعات مختلف را برای آنها فراهم می کند. با توجه به محبوبیت بالای دستگاه های کامپیوتری همراه با توسعه شبکه کامپیوتری اطلاعات "اینترنت"و انتقال اجباری اکثر انواع داده ها به فرمت دیجیتال، خطر قرار گرفتن در معرض اثرات مضر برنامه های مخرب با هدف آسیب رساندن به داده های کاربر یا سرقت آنها برای اهداف کلاهبرداری به میزان قابل توجهی افزایش می یابد.

ویروس ها هر روز در حال توسعه هستند، تعداد آنها با سرعت فوق العاده ای در حال افزایش است و آسیب قابل توجهی به کاربران و داده های آنها وارد می کند. استفاده از پیشرفته های قدرتمند برنامه های آنتی ویروسبه طور قابل توجهی خطر احتمالی عفونت دستگاه های رایانه ای را کاهش می دهد، اما به دلیل گستره وسیع جستجو برای آسیب پذیری های سیستم که توسط الگوریتم های ویروس استفاده می شود، تضمین کاملی از امنیت ایمنی داده ها ارائه نمی دهد. در نتیجه، اطلاعات کاربر ممکن است آسیب ببیند یا به طور کامل از بین برود.

با این حال، سیستم عامل "پنجره ها"دارای پشتیبان گیری داخلی و ابزارهای بازیابی سیستم است که در بیشتر موارد به کاربران کمک می کند تا اطلاعات از دست رفته را بازیابی کنند.

در برخی موارد، ابزارهای امنیتی سیستم "پنجره ها"کافی نیست. بنابراین، داشتن یک نرم افزار حرفه ای بازیابی فایل که بتواند اطلاعات کاربر از دست رفته به دلیل آلودگی به ویروس و دلایل مختلف دیگر را بازیابی کند، بسیار مهم است.

اولین تروجان های باج افزار از خانواده Trojan.Encoder در سال های 2006-2007 ظاهر شدند. از ژانویه 2009، تعداد انواع آنها تقریبا 1900٪ افزایش یافته است! در حال حاضر Trojan.Encoder با داشتن چندین هزار تغییر یکی از خطرناک ترین تهدیدات برای کاربران است. از آوریل 2013 تا مارس 2015، آزمایشگاه ویروس دکتر وب 8553 درخواست برای رمزگشایی فایل های تحت تأثیر تروجان های رمزگذار دریافت کرد.
ویروس‌های رمزگذاری تقریباً مقام اول را در درخواست‌ها به انجمن‌ها کسب کرده‌اند امنیت اطلاعات. روزانه به طور متوسط ​​40 درخواست رمزگشایی فقط توسط کارمندان آزمایشگاه ویروس دکتر وب از کاربران آلوده به انواع مختلف تروجان های رمزگذاری دریافت می شود. Trojan.Encoder، Trojan-Ransom.Win32.Xorist، Trojan-Ransom.Win32.Rector، Trojan.Locker، Trojan.Matsnu، Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.GpCode، گاوصندوق دیجیتال، جعبه دیجیتال، lockdir.exe، rectorrsa، Trojan-Ransom.Win32.Rakhn، CTB-Locker، vaultو غیره). نشانه‌های اصلی چنین آلودگی‌هایی تغییر پسوند فایل‌های کاربر مانند فایل‌های موسیقی، فایل‌های تصویری، اسناد و غیره است، هنگامی که می‌خواهید آنها را باز کنید، پیامی از سوی مهاجمان ظاهر می‌شود که خواستار پرداخت برای دریافت رمزگشا هستند. همچنین امکان تغییر تصویر پس‌زمینه دسکتاپ، ظاهر اسناد متنی و پنجره‌ها با پیام‌های مربوطه در مورد رمزگذاری، نقض قراردادهای مجوز و غیره وجود دارد. تروجان های رمزگذاری به ویژه برای شرکت های تجاری خطرناک هستند، زیرا داده های از دست رفته از پایگاه های داده و اسناد پرداخت می تواند کار شرکت را برای مدت نامحدود مسدود کند و منجر به از دست دادن سود شود.

تروجان های خانواده Trojan.Encoder از ده ها الگوریتم مختلف برای رمزگذاری فایل های کاربر استفاده می کنند. به عنوان مثال، برای یافتن کلیدهای رمزگشایی فایل های رمزگذاری شده توسط Trojan.Encoder.741 با استفاده از روش brute force، شما نیاز دارید:
107902838054224993544152335601 سال

رمزگشایی فایل های آسیب دیده توسط تروجان در بیش از 10٪ موارد امکان پذیر است. این بدان معنی است که بیشتر داده های کاربر برای همیشه از بین می روند.

امروزه باج افزارها تا 1500 بیت کوین.

حتی اگر به مهاجم باج بدهید، هیچ تضمینی برای بازیابی اطلاعات به شما نمی دهد.

موضوع به موارد عجیب و غریب می رسد - موردی ثبت شد که با وجود باج پرداختی، مجرمان نتوانستند فایل های رمزگذاری شده توسط Trojan.Encoder را که ایجاد کرده بودند رمزگشایی کنند و کاربر قربانی را برای کمک به سرویس فرستادند. پشتیبانی فنیشرکت آنتی ویروس!

عفونت چگونه رخ می دهد؟

• از طریق سرمایه گذاری در پست الکترونیک; روش مهندسی اجتماعیمهاجمان کاربر را مجبور می کنند فایل پیوست شده را باز کند.
• استفاده از عفونت های Zbot که به عنوان پیوست های PDF مبدل شده اند.
• از طریق کیت های بهره برداری واقع در وب سایت های هک شده که از آسیب پذیری های رایانه برای نصب عفونت سوء استفاده می کنند.
• از طریق تروجان هایی که دانلود پخش کننده لازم برای تماشای فیلم های آنلاین را ارائه می دهند. این معمولا در سایت های پورنو اتفاق می افتد.
• از طریق RDP، با استفاده از حدس زدن رمز عبور و آسیب پذیری های موجود در این پروتکل.
• استفاده از کلیدهای آلوده، کرک ها و ابزارهای فعال سازی.

هنگام استفاده از حدس زدن رمز عبور RDP، یک مهاجم خودش وارد می شودتحت یک حساب کاربری هک شده، خودش خاموشش میکنهیا یک محصول آنتی ویروس دانلود می کند و خود را راه اندازی می کندرمزگذاری

تا زمانی که از نامه هایی با عناوین «بدهی»، «پروانه کیفری» و غیره نترسید، مهاجمان از ساده لوحی شما سوء استفاده خواهند کرد.

فکرش را بکنید... خودتان یاد بگیرید و ساده ترین اصول ایمنی را به دیگران بیاموزید!

• هرگز پیوست های ایمیل های دریافتی از گیرندگان ناشناس را باز نکنید، مهم نیست که هدر چقدر ترسناک باشد. اگر پیوست به‌عنوان بایگانی وارد شد، سعی کنید محتویات آرشیو را به سادگی مشاهده کنید. و اگر یک فایل اجرایی (پسوند .exe، .com، .bat، .cmd، .scr) وجود دارد، پس این 99.(9)٪ یک تله برای شما است.
• اگر هنوز از چیزی می ترسید، برای کشف حقیقت تنبل نباشید آدرس ایمیلسازمانی که نامه از طرف آن به شما رسیده است. کشف این موضوع در عصر اطلاعات ما چندان دشوار نیست.
• حتی اگر آدرس فرستنده درست باشد، برای بررسی اینکه آیا چنین نامه ای ارسال شده است یا خیر، تنبل نباشید. آدرس فرستنده را می توان به راحتی با استفاده از سرورهای smtp ناشناس جعل کرد.
• اگر فرستنده می گوید Sberbank یا Russian Post، پس این معنایی ندارد. نامه های معمولی در حالت ایده آل باید با امضای الکترونیکی امضا شوند. لطفاً قبل از باز کردن فایل های پیوست شده به این ایمیل ها، آنها را به دقت بررسی کنید.
• آن را به طور منظم انجام دهید پشتیبان گیریاطلاعات در رسانه های جداگانه
• استفاده را فراموش کنید رمزهای عبور ساده، که برداشتن و ورود به آنها آسان است شبکه محلیسازمان های تحت داده های شما برای دسترسی RDP، از گواهی ها، دسترسی VPN یا احراز هویت دو مرحله ای استفاده کنید.
• هرگز با حقوق Administrator کار نکنید، به پیام ها توجه کنید UACحتی اگر داشته باشند "رنگ ابی"برنامه امضا شده، کلیک نکنید "آره"،اگر نصب یا به روز رسانی را اجرا نکرده اید.
• به طور منظم به روز رسانی های امنیتی را نه تنها برای سیستم عامل، بلکه برای برنامه های کاربردی نصب کنید.
• نصب رمز عبور تنظیمات برنامه آنتی ویروس، متفاوت از رمز عبور است حساب، گزینه دفاع از خود را فعال کنید

اجازه دهید توصیه های Dr.Web و Kaspersky Lab را نقل کنیم:

• بلافاصله رایانه خود را خاموش کنید تا تروجان متوقف شود، دکمه Reset در رایانه شما می تواند بخش قابل توجهی از داده ها را ذخیره کند.
• سایت نظرات: علیرغم این واقعیت که چنین توصیه ای توسط آزمایشگاه های معروف ارائه شده است، در برخی موارد اجرای آن رمزگشایی را پیچیده می کند، زیرا ممکن است کلید در حافظه دسترسی تصادفیو پس از راه اندازی مجدد سیستم، بازیابی آن غیرممکن خواهد بود. برای توقف رمزگذاری بیشتر، می‌توانید اجرای فرآیند باج‌افزار را با استفاده از Process Explorer یا برای توصیه‌های بیشتر متوقف کنید.

اسپویلر: پاورقی

هیچ رمزگذاری قادر به رمزگذاری فوری تمام داده ها نیست، بنابراین تا زمانی که رمزگذاری کامل نشود، بخشی از آن دست نخورده باقی می ماند. و هر چه زمان بیشتری از شروع رمزگذاری بگذرد، داده های دست نخورده کمتری باقی می ماند. از آنجایی که وظیفه ما ذخیره هر چه بیشتر آنهاست، باید عملکرد رمزگذار را متوقف کنیم. در اصل، می توانید شروع به تجزیه و تحلیل لیست فرآیندها کنید، به دنبال جایی که تروجان در آنها قرار دارد، سعی کنید آن را خاتمه دهید ... اما، باور کنید، جدا کردن سیم برق بسیار سریعتر است! تکمیل منظم عملکرد ویندوزیک جایگزین خوب است، اما ممکن است مدتی طول بکشد، یا تروجان ممکن است با اقدامات خود در آن دخالت کند. بنابراین انتخاب من کشیدن بند ناف است. بدون شک این مرحله دارای معایبی است: امکان آسیب رساندن به سیستم فایل و عدم امکان تخلیه بیشتر RAM. آسیب دیده سیستم فایلبرای یک فرد ناآماده، مشکل جدی تر از رمزگذار است. حداقل فایل‌ها بعد از رمزگذار باقی می‌مانند، اما آسیب به جدول پارتیشن، راه‌اندازی سیستم‌عامل را غیرممکن می‌کند. از سوی دیگر، یک متخصص بازیابی اطلاعات با صلاحیت، همان جدول پارتیشن را بدون هیچ مشکلی تعمیر می کند، اما رمزگذار ممکن است به سادگی زمان کافی برای دسترسی به بسیاری از فایل ها را نداشته باشد.

برای شروع دادرسی کیفری علیه مهاجمان، سازمان های مجری قانون به یک دلیل رویه ای نیاز دارند - بیانیه شما در مورد جرم. نمونه برنامه

آماده باشید که رایانه شما برای مدتی برای معاینه توقیف شود.

اگر آنها از پذیرش درخواست شما امتناع کردند، یک رد کتبی دریافت کنید و با یک مقام پلیس بالاتر (رئیس پلیس شهر یا منطقه شما) شکایت کنید.

• تحت هیچ شرایطی سعی نکنید سیستم عامل را دوباره نصب کنید.
• هیچ فایل یا پیام ایمیلی را در رایانه خود حذف نکنید.
• هیچ "پاک کننده" فایل های موقت و رجیستری را اجرا نکنید.
• شما نباید کامپیوتر خود را با آنتی ویروس ها اسکن و درمان کنید ابزارهای آنتی ویروسو به خصوص LiveCD های ضد ویروس، به عنوان آخرین راه حل می توانید فایل های آلوده را به قرنطینه آنتی ویروس منتقل کنید.

اسپویلر: پاورقی

برای رمزگشایی، یک فایل 40 بایتی نامحسوس در یک فهرست موقت یا یک میانبر نامفهوم روی دسکتاپ ممکن است از اهمیت بالایی برخوردار باشد. احتمالاً نمی دانید که آیا آنها برای رمزگشایی مهم خواهند بود یا خیر، بنابراین بهتر است به چیزی دست نزنید. تمیز کردن رجیستری به طور کلی یک روش مشکوک است و برخی از رمزگذارها آثاری از عملکرد در آنجا باقی می گذارند که برای رمزگشایی مهم هستند. البته آنتی ویروس ها می توانند بدنه یک تروجان رمزگذار را پیدا کنند. و حتی می توانند یک بار برای همیشه آن را حذف کنند، اما پس از آن چه چیزی برای تجزیه و تحلیل باقی می ماند؟ چگونه بفهمیم که فایل ها چگونه و با چه چیزی رمزگذاری شده اند؟ بنابراین، بهتر است حیوان را روی دیسک بگذارید. یکی دیگر نکته مهم: من هیچ پاک کننده سیستمی نمی شناسم که توانایی انکودر را برای کار کردن در نظر بگیرد و تمام آثار عملکرد آن را حفظ کند. و به احتمال زیاد، چنین وجوهی ظاهر نمی شود. نصب مجدد سیستم قطعا تمام آثار تروجان به جز فایل های رمزگذاری شده را از بین می برد.

• سعی نکنید فایل های رمزگذاری شده را بازیابی کنیدبدون کمک دیگری؛

اسپویلر: پاورقی

اگر چند سال برنامه نویسی دارید، واقعاً می دانید RC4، AES، RSA چیست و چه تفاوت هایی بین آنها وجود دارد، می دانید Hiew چیست و 0xDEADC0DE به چه معناست، می توانید آن را امتحان کنید. من آن را به دیگران توصیه نمی کنم. فرض کنید روشی معجزه آسا برای رمزگشایی فایل ها پیدا کرده اید و حتی موفق به رمزگشایی یک فایل شده اید. این تضمینی نیست که این تکنیک روی همه فایل های شما کار کند. علاوه بر این، این تضمینی نیست که با استفاده از این روش به فایل‌ها آسیب بیشتری نرسانید. حتی در کار ما لحظات ناخوشایندی وجود دارد که خطاهای جدی در کد رمزگشایی کشف می شود، اما در هزاران مورد تا به اینجا کد آن طور که باید کار کرده است.

اکنون که مشخص است چه کاری باید انجام دهید و چه کاری را نباید انجام دهید، می توانید رمزگشایی را شروع کنید. در تئوری، رمزگشایی تقریباً همیشه امکان پذیر است. این در صورتی است که شما تمام داده های لازم برای آن را بدانید یا مقدار نامحدودی پول، زمان و هسته های پردازنده. در عمل، تقریباً بلافاصله می توان چیزی را رمزگشایی کرد. چیزی چند ماه یا حتی چند سال منتظر خواهد ماند. در برخی موارد، شما حتی مجبور نیستید با آن مقابله کنید: هیچ کس یک ابر رایانه را به مدت 5 سال رایگان اجاره نخواهد کرد. همچنین بد است که یک مورد به ظاهر ساده هنگام بررسی جزئیات بسیار پیچیده است. این شما هستید که تصمیم می گیرید با چه کسی تماس بگیرید.

• با آزمایشگاه آنتی ویروس شرکتی که دارای بخش تحلیلگران ویروس است که با این مشکل سروکار دارند تماس بگیرید.
• یک فایل رمزگذاری شده با تروجان را به بلیط پیوست کنید (و در صورت امکان، یک کپی رمزگذاری نشده از آن).
• منتظر پاسخ تحلیلگر ویروس باشید. به دلیل حجم بالای درخواست ها، ممکن است مدتی طول بکشد.

چگونه فایل ها را بازیابی کنیم؟

آدرس هایی با فرم هایی برای ارسال فایل های رمزگذاری شده:

• دکتر وب (درخواست رمزگشایی رایگان فقط از سوی کاربران پذیرفته می شود آنتی ویروس جامعدروب)
• آزمایشگاه کسپرسکی (درخواست رمزگشایی رایگان فقط از سوی کاربران محصولات تجاری کسپرسکی پذیرفته می شود)
• ESET، LLC ( درخواست های رمزگشایی رایگان فقط از سوی کاربران محصولات تجاری ESET پذیرفته می شود)
• پروژه No More Ransom (انتخاب کدشکن)
• رمزگذار - اخاذی (گزینه رمزگشاها)
• ID باج افزار (انتخاب رمزگشاها)

ما ما مطلقا توصیه نمی کنیمخودتان فایل ها را بازیابی کنید، زیرا اگر این کار را به اشتباه انجام دهید، می توانید بدون بازیابی چیزی، تمام اطلاعات را از دست بدهید!!! علاوه بر این، بازیابی فایل های رمزگذاری شده توسط انواع خاصی از تروجان ها این به سادگی غیرممکن استبه دلیل قدرت مکانیزم رمزگذاری.

ابزارهای بازیابی فایل های حذف شده:
برخی از انواع تروجان های باج افزار یک کپی از فایل رمزگذاری شده ایجاد می کنند، آن را رمزگذاری می کنند و فایل اصلیحذف شده است، در این حالت می توانید از یکی از ابزارهای کمکی برای بازیابی فایل استفاده کنید (توصیه می شود از نسخه های قابل حمل برنامه های بارگیری و ضبط شده در فلش درایو در رایانه دیگری استفاده کنید):

• R.saver
• Recuva
• JPEG Ripper - ابزاری برای بازیابی تصاویر آسیب دیده
• توضیحات اسکن JPG)
• PhotoRec - ابزاری برای بازیابی تصاویر آسیب دیده (توضیحات)

روش حل مشکلات با برخی از نسخه ها Lockdir

پوشه های رمزگذاری شده با برخی از نسخه های Lockdir را می توان با استفاده از بایگانی باز کرد 7-زیپ

پس از بازیابی موفق اطلاعات، باید سیستم را از نظر بدافزار بررسی کنید؛ برای انجام این کار، باید اجرا کنید و موضوعی را ایجاد کنید که مشکل را در قسمت توضیح دهد.

بازیابی فایل های رمزگذاری شده با استفاده از سیستم عامل

برای بازیابی فایل‌ها با استفاده از سیستم عامل، باید محافظت از سیستم را قبل از ورود تروجان باج‌افزار به رایانه‌تان فعال کنید. اکثر تروجان‌های باج‌افزار سعی می‌کنند هر گونه کپی سایه‌ای را در رایانه شما حذف کنند، اما گاهی اوقات این امکان پذیر نخواهد بود (اگر امتیازات مدیریتی نداشته باشید و نصب کنید. به روز رسانی ویندوز) و می توانید از کپی های سایه برای بازیابی استفاده کنید فایل های آسیب دیده.

لطفاً به یاد داشته باشید که دستور حذف کپی های سایه:

کد:

Vssadmin سایه ها را حذف کنید

فقط با حقوق سرپرست کار می کند، بنابراین پس از فعال کردن محافظت، باید فقط تحت یک کاربر با آن کار کنید حقوق محدودو به همه هشدارهای UAC در مورد تلاش برای افزایش امتیازات توجه کنید.

اسپویلر: چگونه حفاظت سیستم را فعال کنیم؟

چگونه می توان نسخه های قبلی فایل ها را پس از آسیب دیدگی بازیابی کرد؟

توجه داشته باشید:

بازیابی از ویژگی های یک فایل یا پوشه با استفاده از برگه "نسخه های قبلی" در دسترس است فقط در نسخه های ویندوز 7 نه کمتر از "حرفه ای". نسخه‌های خانگی ویندوز 7 و تمامی نسخه‌های سیستم‌عامل‌های جدیدتر ویندوز راه‌حلی دارند (زیر اسپویلر).

اسپویلر

راه دوم -این استفاده از ابزار است ShadowExplorer(می توانید هم نسخه نصب کننده و هم نسخه قابل حمل برنامه را دانلود کنید).

برنامه را اجرا کنید
درایو و تاریخ مورد نظر برای بازیابی فایل ها را انتخاب کنید

فایل یا پوشه مورد نظر را برای بازیابی انتخاب کنید و روی آن کلیک راست کنید
مورد منو را انتخاب کنید صادراتو مسیر پوشه ای که می خواهید فایل ها را از کپی سایه بازیابی کنید را مشخص کنید.

راه هایی برای محافظت از خود در برابر تروجان های باج افزار

متأسفانه، روش های محافظت در برابر تروجان های باج افزار برای کاربران عادیبسیار پیچیده هستند، زیرا سیاست امنیتی یا تنظیمات HIPS برای اجازه دسترسی به فایل ها فقط برای برنامه های خاص مورد نیاز است و در مواردی که یک تروجان در فضای آدرس یک برنامه مورد اعتماد وارد می شود، محافظت 100٪ را ارائه نمی دهد. بنابراین تنها به روشی در دسترسحفاظت است پشتیبان گیریفایل های کاربر به رسانه های قابل جابجایی علاوه بر این، اگر چنین حامل باشد سخت خارجیدیسک یا درایو فلش، این رسانه ها باید فقط برای مدت زمان پشتیبان گیری به رایانه متصل شوند و بقیه زمان ها جدا شوند. برای امنیت بیشتر، پشتیبان گیری را می توان با بوت کردن از آن انجام داد LiveCD. پشتیبان گیری همچنین می تواند در به اصطلاح " فضای ذخیره ابری " توسط برخی شرکت ها ارائه شده است.

راه اندازی برنامه های ضد ویروس برای کاهش احتمال آلودگی توسط تروجان های باج افزار.

برای همه محصولات اعمال می شود:

لازم است ماژول دفاع از خود را فعال کرده و نصب کنید رمز عبور پیچیدهبه تنظیمات آنتی ویروس !!!

آیا به دنبال برنامه ای برای بازیابی فایل های آسیب دیده هستید؟ پس از بازیابی اطلاعات حذف شده فایل های لازمبا پیغام خطا باز نمیشه یا باز نمیشه؟ نمی دانید چگونه ساختار عکس های آسیب دیده را بازیابی کنید؟

فایل های آسیب دیده را با برنامه بازیابی کنید

از RS File Repair برای بازیابی اطلاعات آسیب دیده استفاده کنید. این برنامه به سرعت خطاهای موجود در ساختار فایل را تصحیح کرده و آنها را به شکل اصلی خود باز می گرداند. جادوگر بازیابی گام به گام و رابط کاربری به سبک MS Windows Explorer کار با این ابزار را آسان و ساده می کند و به مهارت خاصی نیاز ندارد. با تشکر از این، هر کاربر می تواند به سرعت فایل های لازم را حتی پس از آسیب جدی پیدا کرده و بازیابی کند.

با RS File Repair می‌توانید فایل‌ها را به دو روش «تعمیر» کنید.

اگر داده ها را با استفاده از جادوگر بازیابی کنید، می توانید همزمان با چندین فایل کار کنید، حتی اگر آنها در پوشه های مختلف. این برنامه آسیب را ترمیم می کند و فایل ها را در پوشه مورد نظر شما ذخیره می کند.

اگر هنگام بازیابی فایل‌های آسیب‌دیده از ویزارد استفاده نکنید، عملکرد پیش‌نمایش در دسترس شما خواهد بود و می‌توانید پیش‌نمایش فایل‌های اصلاح‌شده را قبل از ذخیره‌سازی مشاهده کنید.

بازیابی فایل های آسیب دیده با استفاده از ویزارد

در هر پنجره جادوگر جدید جزئیات را خواهید دید دستورالعمل های گام به گامکه به شما کمک می کند تا فایل های آسیب دیده را به راحتی بازیابی کنید. اگر می خواهید هر بار که برنامه را شروع می کنید کار با جادوگر را شروع کنید، از گزینه "نمایش جادوگر هنگام شروع برنامه" استفاده کنید.

در پنجره «انتخاب فایل‌ها»، باید فایل‌های آسیب‌دیده‌ای را که می‌خواهید تعمیر و ذخیره کنید، مشخص کنید. در اینجا می توانید هر تعداد فایل را از پوشه های مختلف به لیست پوشه های قابل بازیابی اضافه کنید، فایل ها را از لیست حذف کنید یا لیست را به طور کامل پاک کنید. همچنین می‌توانید نحوه نمایش لیست فایل‌های انتخابی («آیکون‌ها»، «فهرست»، «جدول») و استفاده از مرتب‌سازی فایل‌ها را انتخاب کنید.

سپس نوع تجزیه و تحلیل داده های بازیابی شده را انتخاب کنید. در بیشتر موارد، استفاده از تابع "تجزیه و تحلیل" کافی است، که به شما امکان می دهد به سرعت آسیب به ساختار منطقی فایل ها را از بین ببرید.

نوع دوم پردازش داده ها - "تحقیق" - در صورت لزوم تجزیه و تحلیل ساختار فایل با جزئیات بیشتر استفاده می شود. این کار زمان بیشتری می برد، اما به شما این امکان را می دهد که حتی داده های آسیب دیده را با حفظ حداکثر مقدار اطلاعات از فایل های اصلی بازیابی کنید.

در پنجره بعدی، جادوگر از شما می خواهد که مسیر ذخیره داده های بازیابی شده (پوشه ای که در آن ذخیره می شود) را انتخاب کنید و همچنین برخی از اصول دیگر را برای ذخیره فایل های اصلاح شده در رسانه انتخاب شده تعیین کنید.

بازیابی فایل های آسیب دیده با پیش نمایش

اگر تصمیم به "دستی" دارید، بدون استفاده از جادوگر، پوشه ای را انتخاب کنید که فایل های مورد نیاز در آن در سمت چپ پنجره اصلی برنامه قرار دارد. تمام محتویات دایرکتوری در سمت راست نمایش داده می شود و می توانید فایل های مورد نیاز خود را در آن انتخاب کنید.

اگر فایل آسیب دیده باشد، برنامه قادر به نمایش محتویات آن نخواهد بود. برای بازیابی ساختار آن، از منوی "File" - "Analysis" یا "File" - "Research" منوی اصلی برنامه استفاده کنید. پس از انجام این عملکردها، فایل ها برای پیش نمایش در دسترس خواهند بود.

شما زمان زیادی را صرف تهیه گزارش کردید، اما توسط یک ویروس موذی آسیب دیده است؟ یا بد افزاردسترسی به فایل های ارزشمند مسدود شده است؟ دست از هراس بردارید! می توان وضعیت را بهبود بخشید. در این مقاله بیشتر در این مورد صحبت خواهیم کرد.

چگونه ویروس را خنثی کنیم و فایل را ذخیره کنیم

هر کاربر مدرن به خوبی می داند: اولین کاری که باید بعد از خرید کامپیوتر انجام داد، نصب یک آنتی ویروس است. به این ترتیب خطر عفونت سیستم و آسیب دیدن فایل های ذخیره شده در هارد دیسک را به میزان قابل توجهی کاهش خواهید داد.

اگر تهدیدی شناسایی شود، نرم افزار شما را از تهدید مطلع می کند و پیشنهاد می کند فایل را ضد عفونی کنید، آن را حذف کنید، آن را به قرنطینه منتقل کنید یا کاری انجام ندهید. به نظر کاربران پاسخ واضح است - فایل باید ضد عفونی شود. متأسفانه، این دکمه جادویی همیشه با این کار کنار نمی آید. در چنین شرایطی، آنتی ویروس پیشنهاد می کند راه حل دیگری را انتخاب کند. 70٪ از کاربران حذف را انتخاب می کنند و فایل های حذف شده یا خراب را تجربه می کنند.

واقعیت این است که یک آنتی ویروس، در حین اسکن کامپیوتر، می تواند فایل های فردی را به عنوان "مشکوک" علامت گذاری کند و آنها را همراه با ویروس پاک کند. نه همیشه اطلاعات حذف شدهمعلوم می شود که واقعاً آلوده شده اند: اغلب، فایل ها به دلیل خطاهای سیستم یا رجیستری در لیست سیاه قرار می گیرند.

اگر اطلاعاتی در مورد تهدیدی در صفحه نمایشگر شما ظاهر شد، ابتدا وضعیت را تجزیه و تحلیل کنید و تنها پس از آن اقدامات لازم را انجام دهید. بهترین گزینه قرنطینه کردن فایل بالقوه خطرناک است. سپس از تعامل با سایر برنامه ها محافظت می شود. این امر از گسترش عفونت در سراسر سیستم جلوگیری می کند. بعداً، اگر متوجه شدید که خطر از یک شی دیگر سرچشمه گرفته است، همیشه می‌توانید فایل را بیرون بکشید.

فایل های حذف شده یا آسیب دیده را به سرعت بازیابی کنید

اگر فایل حذف شده یا آسیب دیده است، می توانید با استفاده از نرم افزار خاصی آن را بازیابی کنید. در اینترنت صدها برنامه کاربردی را پیدا خواهید کرد که برای حل این مشکل طراحی شده اند. برخی از آنها فقط از کار با عکس پشتیبانی می کنند، برخی دیگر در بازگرداندن اسناد متنی تخصص دارند، اما برنامه های همه کاره نیز وجود دارد. به عنوان مثال، "PHOENIX". این کار را به خوبی انجام می دهد و داده های حذف شده را در چند دقیقه پیدا می کند. مهم نیست که چه نوع داده ای از بین رفته است: اسناد متنی, صفحات گسترده، ارائه ها، فیلم ها، فایل های صوتی، عکس ها - PHOENIX از کار با انواع مدرن اطلاعات پشتیبانی می کند.