Kā atgūt failus pēc WannaCry ransomware vīrusa šifrēšanas

Labdien, Habrazhiteliki. Vietnē Habré ir daudz rakstīts par to, kā pasargāt sevi no WannaCry. Bet nez kāpēc nekur nebija paskaidrots, kā atgriezt šifrētus datus. Es vēlos aizpildīt šo robu. Un nedaudz izgaismojām, kā mēs to darījām mūsu “plaši pazīstamajā” uzņēmumā, kas nodarbojas ar loģistiku. Šī ir vairāk instrukcija mūsu informācijas drošības administratoriem.

Atkopšana pēc datu šifrēšanas

Tā nav atšifrēšana, bet gan atkopšana. Un tas darbojas tikai tad, ja logos ir iespējota ēnu kopēšana, t.i. Datus var atjaunot no pašiem Windows atjaunošanas punktiem.

Lai to izdarītu, varat izmantot utilītu ShadowExplorer - tā ir bezmaksas un ļauj atjaunot failus no atkopšanas punktiem. Atjaunošanas punkti tiek izveidoti katru reizi, kad sistēma tiek atjaunināta, un vecie tiek pārrakstīti ar jauniem. Punktu skaits ir atkarīgs no atkopšanas punktiem atvēlētās vietas. Vidēji 5-6 no tiem tiek glabāti vidējā Windows.

Atlasiet atkopšanas punktu un varat eksportēt failus un direktorijus uz vajadzīgo vietu:

Atlasiet tos failus, kas vēl nav šifrēti, un eksportējiet tos uz vajadzīgo vietu.

(Dažos gadījumos, kad atjauninājums jau ir pagājis, šie atkopšanas punkti var tikt pārrakstīti, kad faili vēl nebija šifrēti. Iespējams arī, ka daži dati jau ir šifrēti atkopšanas punktos, bet daži vēl nav šifrēti. jāatjauno tikai tas, ko var atjaunot.)

Tas principā ir viss, kas nepieciešams restaurācijai, kur iespējams.

Svarīgs! Pēc failu atjaunošanas jums ir jāizdzēš tie atkopšanas punkti, kuros dati jau bija šifrēti. Ir novērots, ka tieši šeit vīruss atjaunojas pēc tīrīšanas.

Atgūt datus, kā arī neitralizēt un noņemt vīrusu:

1. Atvienojiet datoru no tīkla
2. Tālāk jums ir jāizmanto utilīta wann_kill_v_(versijas numurs) - šī utilīta nogalina vīrusa procesu. Paši vīrusu paraksti paliek sistēmā saglabāti. Mēs to darām, jo ienesot datorā zibatmiņas disku, kas jādezinficē, vīruss šifrē zibatmiņas disku. Ir svarīgi palaist šo utilītu, pirms vīruss nokļūst zibatmiņas diskā.

3. Notīriet datoru, izmantojot DrWeb CureIt (šeit pats vīruss tiek noņemts no datora)
4. Atgūstiet nepieciešamos datus, kā aprakstīts iepriekš “ Pēc datu šifrēšanas»
5. (Tikai pēc datu atkopšanas) Iznīcini atkopšanas punktus, jo tieši tur vīruss atjaunojas pēc tīrīšanas.

Sistēmas aizsardzība:

Melodija:

Dzēst.

6. Pēc tam izlaidiet ielāpu KB4012212, tādējādi aizverot tīkla ievainojamību MS17-010.
7. Ieslēdziet tīklu un instalējiet (vai atjauniniet) pretvīrusu programmatūru.

Būtībā tā es cīnījos ar Wanna Cry vīrusu.

Birkas: WannaCry, atšifrēšana

Lasīt:

Formatēšana, izmantojot BIOS Lietu sakārtošana - cietā diska tīrīšana operētājsistēmā Windows 10 Wanna Cry “kliedza” visai pasaulei – kā atrisināt vīrusa problēmu Pagaidu pasts 10 minūtes bez reģistrācijas Ko darīt un kā atbloķēt?