Bagaimana memulihkan file setelah mengenkripsi virus ransomware WannaCry

Selamat siang, Habrazhiteliki. Banyak yang telah ditulis di Habré tentang cara melindungi diri Anda dari WannaCry. Namun karena alasan tertentu, tidak dijelaskan cara mengembalikan data terenkripsi. Saya ingin mengisi kesenjangan ini. Dan menjelaskan sedikit tentang bagaimana kami melakukan ini di perusahaan “terkenal” kami yang bergerak di bidang logistik. Ini lebih merupakan instruksi untuk administrator keamanan informasi kami.

Pemulihan setelah enkripsi data

Ini bukan Dekripsi, melainkan Pemulihan. Dan itu hanya berfungsi jika penyalinan bayangan diaktifkan di windows, mis. Data dapat dipulihkan dari titik pemulihan Windows itu sendiri.

Untuk melakukan ini, Anda dapat menggunakan utilitas ShadowExplorer - gratis dan memungkinkan Anda memulihkan file dari titik pemulihan. Titik pemulihan dibuat setiap kali sistem diperbarui dan titik pemulihan lama ditimpa dengan yang baru. Jumlah titik bergantung pada ruang yang dialokasikan untuk titik pemulihan. Rata-rata, 5-6 di antaranya disimpan di rata-rata Windows.

Pilih titik pemulihan dan Anda dapat mengekspor file dan direktori ke lokasi yang Anda perlukan:

Pilih file-file yang belum dienkripsi dan ekspor ke lokasi yang Anda perlukan.

(Dalam beberapa kasus, ketika pembaruan telah berlalu, titik pemulihan tersebut mungkin ditimpa ketika file belum dienkripsi. Mungkin juga beberapa data sudah dienkripsi di titik pemulihan, namun ada pula yang belum. Anda hanya perlu memulihkan apa yang dapat dipulihkan.)

Pada prinsipnya, hanya itulah yang diperlukan untuk restorasi jika memungkinkan.

Penting! Setelah memulihkan file, Anda perlu menghapus titik pemulihan yang datanya sudah dienkripsi. Telah diketahui bahwa di sinilah virus memulihkan dirinya sendiri setelah dibersihkan.

Memulihkan data, serta menetralisir dan menghapus virus:

1. Putuskan sambungan komputer Anda dari jaringan
2. Selanjutnya, Anda perlu menggunakan utilitas wann_kill_v_(nomor versi) - utilitas ini mematikan proses virus. Tanda tangan virus itu sendiri tetap tersimpan di sistem. Kami melakukan ini karena ketika Anda membawa flash drive ke komputer yang perlu didesinfeksi, virus mengenkripsi flash drive tersebut. Penting untuk menjalankan utilitas ini sebelum virus masuk ke flash drive.

3. Bersihkan Komputer Anda menggunakan DrWeb CureIt (di sini virusnya sendiri yang dihapus dari komputer)
4. Pulihkan data yang Anda perlukan seperti dijelaskan di atas “ Setelah enkripsi data»
5. (Hanya setelah pemulihan data) Hancurkan titik pemulihan, karena di sinilah virus memulihkan dirinya setelah dibersihkan.

Sistem keamanan:

Lagu:

Menghapus.

6. Kemudian luncurkan patch KB4012212, sehingga menutup kerentanan jaringan MS17-010
7. Nyalakan jaringan dan instal (atau perbarui) perangkat lunak anti-virus.

Pada dasarnya itulah cara saya melawan virus Wanna Cry.

Tag: WannaCry, Dekripsi

Membaca:

Memformat melalui BIOS Menertibkan - membersihkan hard drive di Windows 10 Wanna Cry “berteriak” ke seluruh dunia – bagaimana mengatasi masalah virus Surat sementara selama 10 menit tanpa registrasi Apa yang harus dilakukan dan bagaimana cara membuka kuncinya?