WannaCry ランサムウェアウイルスを暗号化した後にファイルを復元する方法

こんにちは、ハブラジテリキ。 Habré については、WannaCry から身を守る方法について多くのことが書かれています。しかし、何らかの理由で、暗号化されたデータを返す方法はどこにも説明されていませんでした。このギャップを埋めたいと思っています。そして、物流に携わる「有名な」会社でこれをどのように行ったかに少し光を当てます。これは、情報セキュリティ管理者に対する指示です。

データ暗号化後の復元

これは復号化ではなく、回復です。また、Windows でシャドウコピーが有効になっている場合にのみ機能します。データは Windows 復元ポイント自体から復元できます。

これを行うには、ShadowExplorer ユーティリティを使用できます。これは無料で、復旧ポイントからファイルを復元できます。復元ポイントはシステムが更新されるたびに作成され、古い復元ポイントは新しい復元ポイントで上書きされます。ポイントの数は、復旧ポイントに割り当てられたスペースによって異なります。平均して、そのうちの 5 ～ 6 個が平均的な Windows に保存されます。

回復ポイントを選択すると、ファイルとディレクトリを必要な場所にエクスポートできます。

まだ暗号化されていないファイルを選択し、必要な場所にエクスポートします。

(場合によっては、更新がすでに過ぎている場合、ファイルがまだ暗号化されていないときに、これらの回復ポイントが上書きされる可能性があります。また、一部のデータは回復ポイントですでに暗号化されているが、一部はまだ暗号化されていない可能性もあります。復元できるものだけを復元する必要があります。)

原則として、可能な場合に復元に必要なのはこれだけです。

重要！ファイルを復元した後、データがすでに暗号化されていた復旧ポイントを消去する必要があります。これは、ウイルスが駆除後に回復する場所であることがわかっています。

データを回復し、ウイルスを無力化して除去します。

1. コンピュータをネットワークから切断します
2. 次に、wann_kill_v_(バージョン番号) ユーティリティを使用する必要があります。このユーティリティはウイルスプロセスを強制終了します。ウイルスシグネチャ自体はシステムに保存されたままになります。私たちがこれを行う理由は、駆除が必要なコンピュータにフラッシュドライブを持ち込むと、ウイルスによってフラッシュドライブが暗号化されます。ウイルスがフラッシュドライブに侵入する前にこのユーティリティを実行することが重要です。

3. DrWeb CureIt を使用してコンピュータをクリーニングします (ここではウイルス自体がコンピュータから削除されます)
4. 上記の説明に従って、必要なデータを復元します。 データ暗号化後»
5. (データ復旧後のみ)回復ポイントは、ウイルスが駆除後に復元される場所であるため、破壊します。

システム保護:

曲：

消去。

6. 次に、KB4012212 パッチを展開して、MS17-010 ネットワーク脆弱性を解決します。
7. ネットワークをオンにして、ウイルス対策ソフトウェアをインストール (または更新) します。

基本的に、それが私が Wanna Cry ウイルスと戦った方法です。

タグ: WannaCry、復号化

読む：

BIOS によるフォーマット物事を整理する - Windows 10 のハードドライブをクリーニングする Wanna Cryが全世界に「叫んだ」―ウイルス問題をどう解決するか登録なしで10分間の臨時メール何をすればいいのか、どうやってロックを解除するのか？