نحوه بازیابی فایل ها پس از رمزگذاری ویروس باج افزار WannaCry

ظهر بخیر، حبرازیتلیکی. در Habré مطالب زیادی در مورد چگونگی محافظت از خود در برابر WannaCry نوشته شده است. اما به دلایلی، هیچ کجا توضیح داده نشده است که چگونه داده های رمزگذاری شده را بازگردانیم. من می خواهم این شکاف را پر کنم. و در مورد نحوه انجام این کار در شرکت "معروف" خود که در زمینه تدارکات فعالیت می کند، کمی روشن کنید. این بیشتر یک دستورالعمل برای مدیران امنیت اطلاعات ما است.

بازیابی پس از رمزگذاری داده ها

این رمزگشایی نیست، بلکه بازیابی است. و فقط در صورتی کار می کند که کپی سایه در ویندوز فعال باشد، یعنی. داده ها را می توان از نقاط بازیابی ویندوز خود بازیابی کرد.

برای انجام این کار، می توانید از ابزار ShadowExplorer استفاده کنید - این برنامه رایگان است و به شما امکان می دهد فایل ها را از نقاط بازیابی بازیابی کنید. هر بار که سیستم به روز می شود، نقاط بازیابی ایجاد می شود و موارد قدیمی توسط موارد جدید بازنویسی می شوند. تعداد امتیازها بستگی به فضای اختصاص داده شده برای نقاط بازیابی دارد. به طور متوسط 5-6 عدد از آنها در ویندوز متوسط ذخیره می شود.

یک نقطه بازیابی را انتخاب کنید و می توانید فایل ها و دایرکتوری ها را به مکان مورد نیاز خود صادر کنید:

آن دسته از فایل هایی که هنوز رمزگذاری نشده اند را انتخاب کنید و آنها را به مکان مورد نیاز خود صادر کنید.

(در برخی موارد، زمانی که به روز رسانی قبلاً گذشته است، ممکن است زمانی که فایل ها هنوز رمزگذاری نشده اند، آن نقاط بازیابی بازنویسی شوند. همچنین ممکن است برخی از داده ها قبلاً در نقاط بازیابی رمزگذاری شده باشند، اما برخی هنوز رمزگذاری نشده اند. نیاز به بازیابی فقط مواردی است که قابل بازیابی هستند.)

این، در اصل، تمام چیزی است که برای بازسازی در صورت امکان لازم است.

مهم!پس از بازیابی فایل ها، باید نقاط بازیابی را که داده ها قبلاً رمزگذاری شده بودند، پاک کنید. مشاهده شده است که این جایی است که ویروس پس از تمیز کردن خود را بازیابی می کند.

بازیابی داده ها و همچنین خنثی سازی و حذف ویروس:

1. کامپیوتر خود را از شبکه جدا کنید
2. در مرحله بعد، باید از ابزار wann_kill_v_ (شماره نسخه) استفاده کنید - این ابزار فرآیند ویروس را از بین می برد. خود امضاهای ویروس در سیستم ذخیره می شوند. ما این کار را انجام می دهیم زیرا وقتی فلش مموری را به رایانه می آورید که باید ضدعفونی شود، ویروس فلش مموری را رمزگذاری می کند. مهم است که این ابزار را قبل از ورود ویروس به درایو فلش اجرا کنید.

3. رایانه خود را با استفاده از DrWeb CureI تمیز کنید (در اینجا خود ویروس از رایانه حذف می شود)
4. داده های مورد نیاز خود را همانطور که در بالا توضیح داده شد بازیابی کنید. پس از رمزگذاری داده ها»
5. (فقط پس از بازیابی اطلاعات)نقاط بازیابی را از بین ببرید، زیرا این جایی است که ویروس پس از تمیز کردن خود را بازیابی می کند.

حفاظت از سیستم:

اهنگ:

حذف.

6. سپس وصله KB4012212 را منتشر کنید، در نتیجه آسیب‌پذیری شبکه MS17-010 بسته می‌شود.
7. شبکه را روشن کنید و نرم افزار آنتی ویروس را نصب کنید (یا به روز کنید).

این اساساً چگونه با ویروس Wanna Cry مبارزه کردم.

برچسب‌ها: WannaCry, رمزگشایی

خواندن:

فرمت کردن از طریق بایوس نظم دادن به کارها - تمیز کردن هارد دیسک در ویندوز 10 Wanna Cry به تمام جهان "فریاد زد" - چگونه مشکل ویروس را حل کنیم پست موقت به مدت 10 دقیقه بدون ثبت نام چه باید کرد و چگونه قفل را باز کرد؟