Como recuperar arquivos após criptografar o vírus ransomware WannaCry

Boa tarde, Habrazhiteliki. Muito foi escrito em Habré sobre como se proteger do WannaCry. Mas, por alguma razão, em nenhum lugar foi explicado como retornar dados criptografados. Eu quero preencher essa lacuna. E esclarecer um pouco como fizemos isso em nossa “conhecida” empresa envolvida em logística. Esta é mais uma instrução para nossos administradores de segurança da informação.

Recuperação após criptografia de dados

Isto não é descriptografia, mas sim recuperação. E só funciona se a cópia de sombra estiver habilitada no Windows, ou seja, Os dados podem ser restaurados a partir dos próprios pontos de restauração do Windows.

Para fazer isso, você pode usar o utilitário ShadowExplorer - é gratuito e permite restaurar arquivos de pontos de recuperação. Os pontos de restauração são criados sempre que o sistema é atualizado e os antigos são substituídos por novos. O número de pontos depende do espaço alocado para pontos de recuperação. Em média, 5 a 6 deles são armazenados no Windows médio.

Selecione um ponto de recuperação e você poderá exportar arquivos e diretórios para o local necessário:

Selecione os arquivos que ainda não estão criptografados e exporte-os para o local necessário.

(Em alguns casos, quando a atualização já tiver passado, esses pontos de recuperação podem ser substituídos quando os arquivos ainda não foram criptografados. Também é possível que alguns dos dados já estejam criptografados nos pontos de recuperação, mas outros ainda não. Você precisa restaurar apenas o que pode ser restaurado.)

Isso, em princípio, é tudo o que é necessário para a restauração, sempre que possível.

Importante! Depois de restaurar os arquivos, você precisa apagar os pontos de recuperação onde os dados já estavam criptografados. Percebeu-se que é aqui que o vírus se restaura após a limpeza.

Recupere dados, bem como neutralize e remova o vírus:

1. Desconecte seu computador da rede
2. Em seguida, você precisa usar o utilitário wann_kill_v_(número da versão) - este utilitário mata o processo do vírus. As próprias assinaturas de vírus permanecem armazenadas no sistema. Fazemos isso porque quando você leva uma unidade flash para o computador que precisa ser desinfetada, o vírus criptografa a unidade flash. É importante executar este utilitário antes que o vírus entre na unidade flash.

3. Limpe seu computador usando DrWeb CureIt (aqui o próprio vírus é removido do computador)
4. Recupere os dados necessários conforme descrito acima “ Depois da criptografia de dados»
5. (Somente após a recuperação dos dados) Destrua os pontos de recuperação, pois é aqui que o vírus se restaura após a limpeza.

Proteção do sistema:

Afinação:

Excluir.

6. Em seguida, implemente o patch KB4012212, fechando assim a vulnerabilidade de rede MS17-010
7. Ligue a rede e instale (ou atualize) o software antivírus.

Foi basicamente assim que lutei contra o vírus Wanna Cry.

Tags: WannaCry, Descriptografia

Ler:

Formatando via BIOS Colocando as coisas em ordem - limpando o disco rígido no Windows 10 Quero chorar “gritou” para o mundo inteiro – como resolver o problema do vírus Correio temporário por 10 minutos sem registro O que fazer e como desbloquear?