Kaip atkurti failus užšifravus WannaCry ransomware virusą

Laba diena, Habrazhiteliki. Apie tai, kaip apsisaugoti nuo WannaCry, Habré buvo daug parašyta. Bet kažkodėl niekur nebuvo paaiškinta, kaip grąžinti užšifruotus duomenis. Noriu užpildyti šią spragą. Ir šiek tiek paaiškinkite, kaip tai padarėme mūsų „gerai žinomoje“ logistikos įmonėje. Tai daugiau instrukcija mūsų informacijos saugumo administratoriams.

Atkūrimas po duomenų šifravimo

Tai ne iššifravimas, o atkūrimas. Ir tai veikia tik tuo atveju, jei windowsuose įjungtas šešėlinis kopijavimas, t.y. Duomenys gali būti atkurti iš pačių „Windows“ atkūrimo taškų.

Norėdami tai padaryti, galite naudoti „ShadowExplorer“ įrankį - jis yra nemokamas ir leidžia atkurti failus iš atkūrimo taškų. Atkūrimo taškai sukuriami kiekvieną kartą, kai sistema atnaujinama, o senieji perrašomi naujais. Taškų skaičius priklauso nuo atkūrimo taškams skirtos vietos. Vidutiniškai 5–6 iš jų yra saugomi vidutiniame „Windows“.

Pasirinkite atkūrimo tašką ir galėsite eksportuoti failus bei katalogus į reikiamą vietą:

Pasirinkite tuos failus, kurie dar nėra užšifruoti, ir eksportuokite juos į jums reikalingą vietą.

(Kai kuriais atvejais, kai atnaujinimas jau praėjo, tie atkūrimo taškai gali būti perrašyti, kai failai dar nebuvo užšifruoti. Taip pat gali būti, kad kai kurie duomenys jau yra užšifruoti atkūrimo taškuose, bet kai kurie dar ne. Jūs reikia atkurti tik tai, ką galima atkurti.)

Iš esmės tai yra viskas, ko reikia restauravimui, jei įmanoma.

Svarbu! Atkūrę failus, turite ištrinti tuos atkūrimo taškus, kuriuose duomenys jau buvo užšifruoti. Pastebėta, kad būtent čia virusas atsistato po valymo.

Atkurti duomenis, taip pat neutralizuoti ir pašalinti virusą:

1. Atjunkite kompiuterį nuo tinklo
2. Toliau reikia naudoti įrankį wann_kill_v_(versijos numeris) – ši programa užmuša viruso procesą. Patys viruso parašai išlieka sistemoje. Mes tai darome, nes kai į kompiuterį atsinešate atmintinę, kurią reikia dezinfekuoti, virusas užšifruoja atmintinę. Svarbu paleisti šią priemonę prieš virusui patenkant į „flash drive“.

3. Išvalykite kompiuterį naudodami DrWeb CureIt (čia pats virusas pašalinamas iš kompiuterio)
4. Atkurkite reikiamus duomenis, kaip aprašyta aukščiau “ Po duomenų šifravimo»
5. (Tik atkūrus duomenis) Sunaikinkite atkūrimo taškus, nes čia virusas atsistato po valymo.

Sistemos apsauga:

Melodija:

Ištrinti.

6. Tada išleiskite pataisą KB4012212 ir taip pašalinkite MS17-010 tinklo pažeidžiamumą
7. Įjunkite tinklą ir įdiekite (arba atnaujinkite) antivirusinę programinę įrangą.

Iš esmės taip aš kovojau su Wanna Cry virusu.

Žymos: WannaCry, Decryption

Skaityti:

Formatavimas per BIOS Tvarkos sutvarkymas - „Windows 10“ standžiojo disko valymas Wanna Cry „šaukė“ visam pasauliui – kaip išspręsti viruso problemą Laikinas paštas 10 minučių be registracijos Ką daryti ir kaip atrakinti?