ล่าสุด 360 ​​Internet Security Center ค้นพบไวรัสแรนซัมแวร์รูปแบบใหม่ที่มีเป้าหมายทั้งธุรกิจและบุคคลในหลายประเทศและภูมิภาค 360 ออกคำเตือนฉุกเฉินอย่างทันท่วงทีในวันที่ 12 พฤษภาคมหลังการค้นพบ เพื่อเตือนผู้ใช้ถึงความเสี่ยงที่จะเกิดขึ้น Ransomware นี้แพร่กระจายด้วยความเร็วสูงไปทั่วโลก ตามสถิติที่ไม่สมบูรณ์ อุปกรณ์นับหมื่นใน 99 ประเทศติดไวรัสในเวลาเพียงไม่กี่ชั่วโมงหลังการระเบิด และเวิร์มเครือข่ายนี้ยังคงพยายามขยายอิทธิพลของมัน

โดยทั่วไปแล้ว ไวรัสแรนซัมแวร์เป็นโปรแกรมที่เป็นอันตรายซึ่งมีเจตนาขู่กรรโชกอย่างชัดเจน มันเข้ารหัสไฟล์ของเหยื่อโดยใช้อัลกอริธึมการเข้ารหัสแบบไม่สมมาตร ทำให้ไม่สามารถเข้าถึงได้ และเรียกร้องค่าไถ่เพื่อถอดรหัส หากไม่ชำระค่าไถ่ ไฟล์จะไม่สามารถกู้คืนได้ สายพันธุ์ใหม่นี้มีชื่อรหัสว่า WanaCrypt0r สิ่งที่ทำให้เขาถึงตายได้ก็คือเขาใช้เครื่องมือแฮ็ก "EternalBLue" ซึ่งถูกขโมยมาจาก NSA นอกจากนี้ยังอธิบายด้วยว่าเหตุใด WanaCrypt0r จึงสามารถแพร่กระจายไปทั่วโลกได้อย่างรวดเร็วและทำให้เกิดการสูญเสียครั้งใหญ่ในเวลาอันสั้น หลังจากประสบความสำเร็จ เวิร์มเครือข่ายเมื่อวันที่ 12 พฤษภาคม แผนกความปลอดภัยหลักที่ 360 ​​Internet Security Center ได้ทำการตรวจสอบอย่างละเอียดและวิเคราะห์เชิงลึก ขณะนี้เราสามารถเปิดตัวชุดโซลูชั่นการตรวจจับ การป้องกัน และการกู้คืนข้อมูลกับ WanaCrypt0r ได้แล้ว

ทีม 360 Helios เป็นทีมวิจัยและวิเคราะห์ APT (Advanced Persistent Attack) ภายในแผนกความปลอดภัยหลัก ซึ่งมุ่งเน้นการสืบสวนการโจมตี APT และการตอบสนองต่อเหตุการณ์ภัยคุกคามเป็นหลัก นักวิจัยด้านความปลอดภัยได้วิเคราะห์กลไกของไวรัสอย่างรอบคอบเพื่อค้นหาวิธีการกู้คืนไฟล์ที่เข้ารหัสที่มีประสิทธิภาพและแม่นยำที่สุด เมื่อใช้วิธีการนี้ 360 จะกลายเป็นผู้จำหน่ายความปลอดภัยรายแรกที่ปล่อยเครื่องมือกู้คืนข้อมูล - "360 Ransomware Infected การกู้คืนไฟล์"เพื่อช่วยให้ลูกค้ากู้คืนไฟล์ที่ติดไวรัสได้อย่างรวดเร็วและสมบูรณ์ เราหวังว่าบทความนี้จะช่วยให้คุณเข้าใจเคล็ดลับของเวิร์มนี้ รวมถึงการอภิปรายในวงกว้างเกี่ยวกับการกู้คืนไฟล์ที่เข้ารหัส

บทที่ 2 การวิเคราะห์กระบวนการเข้ารหัสขั้นพื้นฐาน

เวิร์มนี้เปิดเผยโมดูลการเข้ารหัสลงในหน่วยความจำและโหลด DLL ลงในหน่วยความจำโดยตรง จากนั้น DLL จะส่งออกฟังก์ชัน TaskStart ที่ควรใช้เพื่อเปิดใช้งานกระบวนการเข้ารหัสทั้งหมด DLL เข้าถึงระบบไฟล์และฟังก์ชัน API ที่เกี่ยวข้องกับการเข้ารหัสแบบไดนามิกเพื่อหลีกเลี่ยงการตรวจจับแบบคงที่

1.ระยะเริ่มต้น

ขั้นแรกจะใช้ "SHGetFolderPathW" เพื่อรับเส้นทางเดสก์ท็อปและโฟลเดอร์ไฟล์ จากนั้นจะเรียกใช้ฟังก์ชัน "10004A40" เพื่อรับเส้นทางไปยังเดสก์ท็อปและโฟลเดอร์ไฟล์ของผู้ใช้รายอื่น และเรียกใช้ฟังก์ชัน EncrytFolder เพื่อเข้ารหัสโฟลเดอร์ทีละรายการ

โดยจะสแกนไดรฟ์ทั้งหมดสองครั้งจากไดรเวอร์ Z ถึง C การสแกนครั้งแรกคือการเรียกใช้ไดรฟ์ในเครื่องทั้งหมด (ยกเว้นซีดีไดรเวอร์) การสแกนครั้งที่สองจะตรวจสอบอุปกรณ์เก็บข้อมูลมือถือทั้งหมดและเรียกใช้ฟังก์ชัน EncrytFolder เพื่อเข้ารหัสไฟล์

2. การเคลื่อนที่ของไฟล์

ฟังก์ชัน "EncryptFolder" เป็นฟังก์ชันแบบเรียกซ้ำที่สามารถรวบรวมข้อมูลเกี่ยวกับไฟล์โดยทำตามขั้นตอนด้านล่าง:

ลบเส้นทางของไฟล์หรือโฟลเดอร์ในระหว่างกระบวนการข้าม:

มีโฟลเดอร์ที่น่าสนใจชื่อ “โฟลเดอร์นี้ป้องกันแรนซัมแวร์ การเปลี่ยนมันจะลดการป้องกัน” เมื่อคุณทำเช่นนี้ คุณจะพบว่าโฟลเดอร์ดังกล่าวสอดคล้องกับโฟลเดอร์การป้องกันของซอฟต์แวร์ป้องกันแรนซัมแวร์

เมื่อรวบรวมข้อมูลไฟล์ ransomware จะรวบรวมข้อมูลเกี่ยวกับไฟล์ เช่น ขนาดของไฟล์ จากนั้นจึงจัดประเภทไฟล์เป็น ประเภทต่างๆตามส่วนขยายตามกฎเกณฑ์บางประการ:

รายการส่วนขยายประเภท 1:

รายการส่วนขยายประเภท 2:

3.ลำดับความสำคัญของการเข้ารหัส

เพื่อเข้ารหัสไฟล์สำคัญโดยเร็วที่สุด WanaCrypt0r ได้พัฒนาคิวลำดับความสำคัญที่ซับซ้อน:

คิวลำดับความสำคัญ:

I.เข้ารหัสไฟล์ประเภท 2 ที่ตรงกับรายการนามสกุล 1 ด้วย หากไฟล์มีขนาดเล็กกว่า 0X400 ลำดับความสำคัญของการเข้ารหัสจะลดลง
ครั้งที่สอง เข้ารหัสไฟล์ประเภท 3 ที่ตรงกับรายการนามสกุล 2 ด้วย หากไฟล์มีขนาดเล็กกว่า 0X400 ลำดับความสำคัญของการเข้ารหัสจะลดลง
III. เข้ารหัสไฟล์ที่เหลือ (น้อยกว่า 0x400) และไฟล์อื่นๆ

4.ตรรกะการเข้ารหัส

กระบวนการเข้ารหัสทั้งหมดเสร็จสมบูรณ์โดยใช้ทั้ง RSA และ AES แม้ว่ากระบวนการเข้ารหัส RSA จะใช้ Microsoft CryptAPI แต่โค้ด AES จะถูกคอมไพล์เป็น DLL แบบคงที่ กระบวนการเข้ารหัสแสดงในรูปด้านล่าง:

รายการคีย์ที่ใช้:

รูปแบบไฟล์หลังการเข้ารหัส:

โปรดทราบว่าในระหว่างขั้นตอนการเข้ารหัส แรนซัมแวร์จะสุ่มเลือกไฟล์บางไฟล์เพื่อเข้ารหัสโดยใช้ไฟล์ในตัว กุญแจสาธารณะ RSA เสนอไฟล์หลายไฟล์ที่เหยื่อสามารถถอดรหัสได้ฟรี

เส้นทางไปยังไฟล์ฟรีสามารถพบได้ในไฟล์ "f.wnry"

5.การกรอกตัวเลขสุ่ม

เมื่อเข้ารหัสแล้ว WanaCrypt0r จะเติมไฟล์ที่เห็นว่าสำคัญด้วยตัวเลขสุ่มจนกว่าจะทำลายไฟล์จนหมด จากนั้นย้ายไฟล์ไปยังไดเร็กทอรีไฟล์ชั่วคราวเพื่อทำการลบ การทำเช่นนี้ทำให้เครื่องมือการกู้คืนไฟล์สามารถกู้คืนไฟล์ได้ค่อนข้างยาก ในขณะเดียวกันก็สามารถเพิ่มความเร็วของกระบวนการเข้ารหัสได้

ไฟล์ที่เสร็จสมบูรณ์จะต้องเป็นไปตามข้อกำหนดต่อไปนี้:

— ในไดเร็กทอรีที่ระบุ (เดสก์ท็อป, เอกสารของฉัน, โฟลเดอร์ผู้ใช้)

— ไฟล์มีขนาดเล็กกว่า 200 MB

— นามสกุลไฟล์อยู่ในรายการประเภทนามสกุล 1

ตรรกะการเติมไฟล์:

- หากไฟล์มีขนาดเล็กกว่า 0x400 จะมีการสุ่มตัวเลขที่มีความยาวเท่ากัน

- หากไฟล์มีขนาดใหญ่กว่า 0x400 0x400 สุดท้ายจะถูกคลุมด้วยตัวเลขสุ่ม

- ย้ายตัวชี้ไฟล์ไปที่ส่วนหัวของไฟล์และตั้งค่า 0x40000 เป็นบล็อกข้อมูลเพื่อครอบคลุมไฟล์ด้วยตัวเลขสุ่มจนจบ

6.การลบไฟล์

WanaCrypt0r จะย้ายไฟล์ไปยังโฟลเดอร์ชั่วคราวเพื่อสร้างไฟล์ชั่วคราวก่อน จากนั้นจึงลบไฟล์ด้วยวิธีต่างๆ

เมื่อผ่านไดรฟ์เพื่อเข้ารหัสไฟล์ มันจะสร้างไฟล์ชั่วคราวชื่อในรูปแบบ "$RECYCLE + การเพิ่มอัตโนมัติ + .WNCYRT" (ตัวอย่าง: "D:\$RECYCLE\1.WNCRYT") บนไดรฟ์ปัจจุบัน . โดยเฉพาะอย่างยิ่งหากไดรฟ์ปัจจุบันเป็นไดรฟ์ระบบ (เช่น Driver-C) จะใช้ไดเร็กทอรีชั่วคราวของระบบ

ต่อจากนั้นกระบวนการจะรัน Taskdl.exe และลบไฟล์ชั่วคราวตามช่วงเวลาที่กำหนด

บทที่ 3 ความเป็นไปได้ในการกู้คืนข้อมูล

ในการวิเคราะห์ตรรกะการดำเนินการ เราสังเกตเห็นว่าเวิร์มนี้จะเขียนทับไฟล์ที่ตรงตามข้อกำหนดที่ระบุด้วยตัวเลขสุ่มหรือ 0x55 เพื่อทำลายโครงสร้างไฟล์และป้องกันการกู้คืน แต่การดำเนินการนี้ยอมรับเฉพาะไฟล์บางไฟล์หรือไฟล์ที่มีนามสกุลบางไฟล์เท่านั้น ซึ่งหมายความว่ายังมีไฟล์จำนวนมากที่ยังไม่ได้ถูกเขียนทับ ทำให้เหลือพื้นที่สำหรับการกู้คืนไฟล์

ในระหว่างกระบวนการลบ เวิร์มได้ย้ายไฟล์ต้นฉบับไปยังโฟลเดอร์ไฟล์ชั่วคราวโดยการเรียกใช้ฟังก์ชัน MoveFileEx ในที่สุดไฟล์ชั่วคราวก็จะถูกลบออกไปเป็นจำนวนมาก ในระหว่างกระบวนการข้างต้นไฟล์ต้นฉบับอาจมีการแก้ไขแต่ปัจจุบัน ซอฟต์แวร์การกู้คืนข้อมูลในตลาดไม่ได้ตระหนักถึงสิ่งนี้ ดังนั้นจึงไม่สามารถกู้คืนไฟล์บางไฟล์ได้สำเร็จ ความต้องการไฟล์กู้คืนสำหรับเหยื่อแทบจะเป็นไปไม่ได้เลยที่จะตระหนัก

สำหรับไฟล์อื่นๆ เวิร์มเพียงดำเนินการคำสั่ง "move & Delete" เนื่องจากกระบวนการลบไฟล์และการย้ายไฟล์แยกจากกัน ทั้งสองเธรดนี้จะแข่งขันกัน ซึ่งอาจทำให้การเคลื่อนย้ายไฟล์ล้มเหลวเนื่องจากความแตกต่างใน สภาพแวดล้อมของระบบผู้ใช้ การดำเนินการนี้จะลบไฟล์ในตำแหน่งปัจจุบันโดยตรง ในกรณีนี้ มีความเป็นไปได้สูงที่ไฟล์จะสามารถกู้คืนได้

https://360totalsecurity.com/s/ransomrecovery/

เมื่อใช้วิธีการกู้คืนของเรา ไฟล์ที่เข้ารหัสจำนวนมากสามารถกู้คืนได้อย่างสมบูรณ์แบบ ขณะนี้ เครื่องมือการกู้คืนไฟล์เวอร์ชัน 360 ที่อัปเดตได้รับการพัฒนาเพื่อตอบสนองความต้องการนี้ในการช่วยเหยื่อนับหมื่นรายในการบรรเทาความสูญเสียและผลที่ตามมา

14 พฤษภาคม 360 เป็นผู้จำหน่ายความปลอดภัยรายแรกที่เปิดตัวเครื่องมือกู้คืนไฟล์ที่บันทึกไฟล์จำนวนมากจากแรนซัมแวร์ นี้ เวอร์ชันใหม่ก้าวไปอีกขั้นในการใช้ประโยชน์จากช่องโหว่เชิงตรรกะของ WanaCrypt0r สามารถกำจัดไวรัสเพื่อป้องกันการติดเชื้อเพิ่มเติม ด้วยการใช้อัลกอริธึมหลายตัว จึงสามารถค้นหาการเชื่อมต่อที่ซ่อนอยู่ระหว่างไฟล์ที่สามารถกู้คืนได้ฟรีและไฟล์ที่ถอดรหัสสำหรับไคลเอนต์ บริการกู้คืนแบบครบวงจรนี้สามารถลดความเสียหายจากการโจมตีของแรนซัมแวร์และปกป้องความปลอดภัยของข้อมูลของผู้ใช้

บทที่ 4 บทสรุป

การแพร่กระจายและการแพร่กระจายของเวิร์ม WannaCry จำนวนมากผ่านการใช้ MS17-010 ซึ่งทำให้สามารถจำลองตัวเองและแพร่กระจายแบบแอคทีฟได้ นอกเหนือจากฟังก์ชันของแรนซัมแวร์ทั่วไป นอกเหนือจากเพย์โหลดการโจมตีแล้ว โครงสร้างทางเทคนิคของแรนซัมแวร์ยังมีบทบาทสำคัญในการโจมตีอีกด้วย จากนั้นแต่ละไฟล์จะถูกเข้ารหัสโดยใช้อัลกอริธึมการเข้ารหัสแบบสมมาตร AES-128 แบบสุ่ม ซึ่งหมายความว่าอาศัยการคำนวณและวิธีการที่มีอยู่ ซึ่งถอดรหัส RSA-2048 และ AES-128 โดยไม่ต้องเปิดหรือ คีย์ส่วนตัวแทบจะเป็นไปไม่ได้เลย อย่างไรก็ตามผู้เขียนทิ้งข้อผิดพลาดบางอย่างไว้ในกระบวนการเข้ารหัสซึ่งทำให้มั่นใจและเพิ่มความเป็นไปได้ในการกู้คืน หากดำเนินการได้เร็วเพียงพอ ข้อมูลส่วนใหญ่จะถูกบันทึกกลับคืนมา

นอกจากนี้ เนื่องจากเงินค่าไถ่จะจ่ายเป็น Bitcoins ที่ไม่ระบุชื่อ ซึ่งใครก็ตามสามารถรับที่อยู่ได้โดยไม่ต้องมีการรับรองที่แท้จริง จึงเป็นไปไม่ได้ที่จะระบุผู้โจมตีจากที่อยู่ต่างๆ นับประสาอะไรกับระหว่างบัญชีต่างๆ ของเจ้าของที่อยู่คนเดียวกัน ดังนั้น เนื่องจากการใช้อัลกอริธึมการเข้ารหัสที่ไม่แตกหักและ Bitcoins ที่ไม่ระบุชื่อ จึงมีโอกาสสูงที่การระบาดของแรนซัมแวร์ที่ทำกำไรประเภทนี้จะดำเนินต่อไปเป็นเวลานาน ทุกคนจะต้องระมัดระวัง

ทีม 360 เฮลิออส

ทีม 360 Helios เป็นทีมวิจัย APT (Advanced Persistent Attack) ใน Qihoo 360

ทีมงานทุ่มเทให้กับการตรวจสอบการโจมตีของ APT การตอบสนองต่อเหตุการณ์ภัยคุกคาม และการวิจัยห่วงโซ่อุตสาหกรรมของเศรษฐกิจใต้ดิน

นับตั้งแต่ก่อตั้งในเดือนธันวาคม 2014 ทีมงานได้ประสบความสำเร็จในการรวมฐานข้อมูล 360 ​​ขนาดใหญ่ และสร้างกระบวนการกลับรายการและความสัมพันธ์ที่รวดเร็ว จนถึงปัจจุบัน มีการระบุและระบุ APT และกลุ่มเศรษฐกิจใต้ดินมากกว่า 30 รายการแล้ว

360 Helios ยังมีโซลูชันการประเมินและตอบสนองต่อภัยคุกคามสำหรับองค์กรอีกด้วย

รายงานสาธารณะ

ติดต่อ
อีเมล จดหมาย: [ป้องกันอีเมล]
กลุ่ม WeChat: ทีม 360 Helios
โปรดดาวน์โหลดรหัส QR ด้านล่างเพื่อติดตามเราบน WeChat!

อ่านวิธีการกู้คืนไฟล์ที่ถูกลบอันเป็นผลมาจาก การโจมตีของไวรัสไฟล์โดยใช้โซลูชัน Windows ในตัวหรือ โปรแกรมของบุคคลที่สาม- วิธีการกู้คืนไฟล์ที่เข้ารหัสโดยไวรัส คอมพิวเตอร์ของคุณถูกไวรัสโจมตีหรือไม่? คุณต้องการกู้คืนไฟล์ที่ถูกลบเนื่องจากการโจมตีที่เป็นอันตรายหรือไม่? เราจะพยายามพูดถึงวิธีมาตรฐานในการแก้ไขสถานการณ์ที่ไม่คาดคิดและตัวเลือกต่าง ๆ สำหรับการกู้คืนไฟล์ที่ถูกลบในบทความนี้

เนื้อหา:

การแนะนำ

ด้วยการพัฒนาเทคโนโลยีอิเล็กทรอนิกส์และวิธีการสื่อสาร ช่วงและปริมาณของข้อมูลที่เกี่ยวข้องกับผู้ใช้เมื่อดำเนินการต่าง ๆ ที่เกี่ยวข้องโดยตรงกับทั้งกิจกรรมทางวิชาชีพและการผลิต และมุ่งเป้าไปที่การให้บริการการสื่อสาร การสื่อสาร เกม และความบันเทิงในภายหลัง ขยายตัวอย่างมีนัยสำคัญ

อุปกรณ์คอมพิวเตอร์ที่มีการออกแบบหลากหลายช่วยในการควบคุมกระแสข้อมูลขาเข้าและขาออกได้อย่างเต็มที่ ดำเนินการประมวลผลได้ทันที โดยไม่คำนึงถึงปริมาณสุดท้าย และรับประกันการจัดเก็บข้อมูลที่ปลอดภัย

คอมพิวเตอร์ส่วนบุคคลและแล็ปท็อปแบบอยู่กับที่ รวมถึงการผสมผสานตัวแปรต่างๆ (อัลตร้าบุ๊ก เน็ตบุ๊ก แล็ปท็อปแบบเปิดประทุน เน็ตท็อป) แท็บเล็ต สมาร์ทโฟน และอุปกรณ์สื่อสาร ฯลฯ ปฏิบัติตามความต้องการที่เพิ่มมากขึ้นของผู้ใช้อย่างเต็มที่เมื่อทำงานกับข้อมูล และเป็นไปตามมาตรฐานข้อมูลล่าสุด

อย่างกว้างขวางที่สุดในรายการยอดนิยมในหมู่ผู้ใช้ อุปกรณ์อิเล็กทรอนิกส์มีการนำเสนอคอมพิวเตอร์ส่วนบุคคลและแล็ปท็อป ไส้ภายในที่อุดมสมบูรณ์ อุปกรณ์คอมพิวเตอร์(โปรเซสเซอร์ที่เร็วเป็นพิเศษ, ฟังก์ชันการทำงานสูง เมนบอร์ด, แถบหน่วยความจำแบบโปรเกรสซีฟ, อุปกรณ์จัดเก็บข้อมูลแบบ capacitive ฯลฯ ) และซอฟต์แวร์ประสิทธิภาพสูงที่ทันสมัยช่วยให้พวกเขาครองตำแหน่งผู้นำในการประมวลผลและจัดเก็บข้อมูลในโลกได้อย่างถูกต้อง

ในแง่ของความกว้างของการจัดจำหน่ายและจำนวนอุปกรณ์ที่ใช้ สมาร์ทโฟนและอุปกรณ์สื่อสารกำลังเข้าใกล้พวกเขา เนื่องจากความคล่องตัวในระดับสูง ขนาดที่เล็ก ฟังก์ชันการทำงานที่ค่อนข้างสูง และช่วงการใช้งานที่กว้างขวาง แอปพลิเคชันที่มีอยู่– สมาร์ทโฟนมุ่งมั่นที่จะจับคู่และหากเป็นไปได้ให้เปลี่ยนคอมพิวเตอร์และแล็ปท็อปเมื่อดำเนินการบางอย่าง

การพัฒนาข้อมูลระหว่างประเทศ เครือข่ายคอมพิวเตอร์ "อินเทอร์เน็ต"เร่งการแพร่กระจายและการใช้งานอุปกรณ์คอมพิวเตอร์ต่าง ๆ โดยผู้ใช้เพื่อแก้ไขปัญหาใด ๆ โดยไม่จำเป็นต้องเชื่อมโยงกับ อุปกรณ์เฉพาะหรือที่ทำงาน การใช้ฐานข้อมูลที่กว้างขวาง การใช้ระยะไกล และการประมวลผลข้อมูลทำให้อุปกรณ์คอมพิวเตอร์ได้รับความนิยมอย่างมาก และเร่งกระบวนการเปลี่ยนไปสู่การจัดเก็บข้อมูลในโหมดดิจิทัล

ด้วยการเปลี่ยนแปลงอย่างกว้างขวางสู่ข้อมูลดิจิทัล ข้อมูลผู้ใช้ส่วนใหญ่ (ส่วนบุคคล โซเชียล สาธารณะ และธุรกิจ) จะถูกจัดเก็บ ประมวลผล ถ่ายโอน และให้บริการโดยอุปกรณ์คอมพิวเตอร์ต่างๆ ในเรื่องนี้ข้อกำหนดที่สำคัญที่สุดสำหรับอุปกรณ์ทั้งหมดคือการรักษาความปลอดภัยข้อมูลระดับสูงที่จำเป็นและการป้องกันจากการกระทำที่ไม่ได้รับอนุญาตของบุคคลที่สาม

ผลกระทบที่เป็นอันตรายประเภทหนึ่งที่พบบ่อยที่สุดต่อข้อมูลผู้ใช้ ได้แก่ การโจมตีของไวรัสจากซอฟต์แวร์ที่เป็นอันตราย

ช่วงของการดำเนินการและฟังก์ชันการทำงานของโปรแกรมดังกล่าวนั้นกว้างผิดปกติและต้องขอบคุณระดับสากล เครือข่ายข้อมูล "อินเทอร์เน็ต"ทำให้การจัดจำหน่ายของพวกเขาก้าวไปสู่ระดับโลกแล้ว

การติดเชื้อไวรัสในอุปกรณ์คอมพิวเตอร์ของผู้ใช้อาจทำให้เกิดผลที่ไม่พึงประสงค์ ซึ่งที่พบบ่อยที่สุดคือการลบไฟล์ผู้ใช้ วิธีคืนค่าไฟล์หลังจากได้รับโปรแกรมไวรัสจะมีการกล่าวถึงเพิ่มเติมในบทความของเรา

ผู้ใช้คอมพิวเตอร์ส่วนใหญ่เคยได้ยิน และหลายคนก็ประสบกับผลที่ตามมาโดยตรง ผลกระทบเชิงลบไวรัสคอมพิวเตอร์ ผลกระทบต่อไฟล์ของผู้ใช้ และประสิทธิภาพโดยรวมของคอมพิวเตอร์ส่วนบุคคลโดยรวม การลบหรือทำลายไฟล์ผู้ใช้โดยเจตนา ปิดกั้นการเข้าถึงแต่ละองค์ประกอบ ระบบปฏิบัติการหรือคอมพิวเตอร์ การเลือกการเข้ารหัสไฟล์และการเปลี่ยนโครงสร้าง การลบหรือการลบตารางพาร์ติชัน การถ่ายโอนการควบคุมคอมพิวเตอร์ส่วนบุคคลไปยังผู้โจมตี การใช้ความสามารถของคอมพิวเตอร์ของผู้ใช้ในการแฮ็กระยะไกลหรือการกระทำที่เป็นอันตรายอื่น ๆ การขโมยข้อมูลส่วนบุคคล การส่งสแปม ข้อความ ฯลฯ – เพียงส่วนหนึ่งของการกระทำทั้งหมดที่อาจเกิดจากการติดไวรัสในอุปกรณ์คอมพิวเตอร์

โปรแกรมได้รับการพัฒนาเพื่อกู้คืนข้อมูลจากฮาร์ดและ ไดรฟ์ภายนอกตลอดจนอุปกรณ์จัดเก็บข้อมูลอื่นๆ มันรวมชุดอัลกอริธึมขั้นสูงที่ช่วยให้คุณสามารถวิเคราะห์และค้นหาข้อมูลที่ถูกลบเพื่อการกู้คืนในภายหลัง ส่งคืนข้อมูลหลังจากระบบล้มเหลว และ ข้อผิดพลาดต่างๆอ่านข้อมูลจากดิสก์ที่เสียหาย อ่านไม่ได้ ไม่ทำงานหรือเสียหาย จากนั้นให้สิทธิ์ในการเข้าถึงไฟล์ที่สูญหายหรือไม่สามารถเข้าถึงได้ รองรับระบบไฟล์เต็มรูปแบบที่ใช้ในระบบปฏิบัติการ"วินโดวส์" และแก้ไขข้อผิดพลาดในโครงสร้างเชิงตรรกะฮาร์ดไดรฟ์

เพื่อคืนเนื้อหาที่สูญหายอย่างปลอดภัย

ข้อดีอีกประการหนึ่งของโปรแกรมคือความสามารถในการกู้คืนข้อมูลที่เสียหายเสียหายหรือถูกบล็อกอันเป็นผลมาจากการโจมตีของไวรัส ด้วยชุดอัลกอริธึมที่เป็นนวัตกรรมใหม่ ทำให้สามารถส่งคืนไฟล์หลังจากการโจมตีของไวรัสที่เป็นอันตรายซึ่งนำไปสู่การทำลายข้อมูลผู้ใช้หรือขาดการเข้าถึง ดาวน์โหลดไฟล์การติดตั้งโปรแกรมจากเว็บไซต์อย่างเป็นทางการของบริษัทเฮตแมน ซอฟท์แวร์

และเริ่มดำเนินการ วิซาร์ดการติดตั้งซอฟต์แวร์ทีละขั้นตอนหลังจากตั้งค่าพารามิเตอร์แต่ละตัว เช่น การระบุเส้นทางการติดตั้งหรือการสร้างทางลัดบนเดสก์ท็อป จะช่วยให้คุณติดตั้งโปรแกรมบนคอมพิวเตอร์ส่วนบุคคลของผู้ใช้ได้อย่างรวดเร็วและสำเร็จเพื่อการใช้งานต่อไป หลังจากการติดตั้งเสร็จสิ้น ให้เปิดโปรแกรมที่ติดตั้ง - เครื่องมือในตัวของโปรแกรมจะทำการวิเคราะห์เบื้องต้นของระบบและแสดงทุกสิ่งที่เชื่อมต่ออยู่คอมพิวเตอร์ส่วนบุคคล

,อุปกรณ์จัดเก็บข้อมูล เลือกพาร์ติชันฮาร์ดดิสก์หรือฟิสิคัลไดรฟ์ทั้งหมดโดยดับเบิลคลิกที่ไอคอนในหน้าต่างโปรแกรม โปรแกรมเปิดใช้งานการเปิดตัวช่วยสร้างการกู้คืนไฟล์ซึ่งจะแจ้งให้ผู้ใช้ตัดสินใจเลือกประเภทของการวิเคราะห์ระบบที่ต้องการในช่วงเวลาใดเวลาหนึ่ง ในกรณีที่ไฟล์สูญหายเนื่องจากไวรัสโจมตี ให้เลือกตัวเลือกการวิเคราะห์แบบเต็มเพื่อค้นหาและกู้คืนทั้งหมดข้อมูลที่เป็นไปได้ บนดิสก์ที่เลือกโดยวางตัวบ่งชี้ (จุด) ตรงข้ามเซลล์ที่เกี่ยวข้อง“การวิเคราะห์แบบเต็ม (ค้นหาข้อมูลที่เป็นไปได้ทั้งหมด)” - หลังจากเลือกการวิเคราะห์แล้ว ให้คลิกปุ่ม"ต่อไป"

และเริ่มกระบวนการกู้คืน ระดับความเสียหายต่อข้อมูล ระบบไฟล์ และอื่นๆ ขึ้นอยู่กับปริมาณภายในของไดรฟ์พารามิเตอร์เพิ่มเติม

ในตอนท้ายของกระบวนการกู้คืนรายการไฟล์และโฟลเดอร์ทั้งหมดที่ตรวจพบจะถูกนำเสนอในหน้าต่างโปรแกรมซึ่งอินเทอร์เฟซผู้ใช้จะใกล้เคียงกับลักษณะที่ปรากฏของ File Explorer มากที่สุด รองรับระบบไฟล์เต็มรูปแบบที่ใช้ในระบบปฏิบัติการเพื่อความสะดวกของผู้ใช้ปลายทาง เมื่อคลิกที่แต่ละไฟล์ ผู้ใช้จะสามารถดูเนื้อหาที่จะแสดงในหน้าต่างแสดงตัวอย่าง เลือกไฟล์ที่จำเป็นและวางไว้ในหน้าต่าง "รายการกู้คืน"โดยการลากปกติคุณจะต้องกดปุ่ม "คืนค่า"ซึ่งอยู่บนแถบเมนูหลักของโปรแกรมและนำเสนอในรูปแบบ ห่วงชูชีพเพื่อบันทึกข้อมูลที่ทำเครื่องหมายไว้ในภายหลัง

File Recovery Assistant จะแจ้งให้ผู้ใช้เลือกหนึ่งในสี่รายการ วิธีที่เป็นไปได้บันทึกรายการที่เลือก: บันทึกไปที่ ฮาร์ดไดรฟ์หรือสื่อบันทึกข้อมูลแบบคงที่หรือแบบถอดได้อื่น ๆ ที่กำลังบันทึกอยู่ ออปติคัลดิสก์, สร้าง "ภาพไอเอสโอ"กู้คืนไฟล์หรืออัพโหลดข้อมูลไปที่ "โปรโตคอล FTP"- โดยการระบุพารามิเตอร์ที่จำเป็นเพิ่มเติมหลายประการ เช่น เส้นทางในการบันทึกไฟล์ที่กู้คืน ผู้ใช้จะสามารถบันทึกข้อมูลตามเงื่อนไขที่เลือกได้

ตอนนี้คุณสามารถเปิดโฟลเดอร์ด้วยไฟล์ที่กู้คืนและตรวจสอบฟังก์ชันการทำงานทั้งหมดได้

วันนี้เมื่อมีการพัฒนา เทคโนโลยีสารสนเทศกำลังดำเนินไปอย่างรวดเร็ว ผู้ใช้คอมพิวเตอร์เกือบทุกคนรู้ถึงอันตรายของการติดไวรัส ความสำคัญของการกำจัดไวรัส และการบำรุงรักษาระบบในระดับความปลอดภัยที่เหมาะสม อย่างไรก็ตาม มีความแตกต่างบางประการในการทำความสะอาดระบบจากการติดไวรัสที่เป็นอันตราย

เมื่อระบบติดไวรัส ระบบจะเริ่มเพิ่มจำนวนและเป็นอันตรายต่อข้อมูลผู้ใช้และระบบปฏิบัติการโดยรวม ซึ่งส่งผลเสียต่อประสิทธิภาพของระบบ นั่นเป็นเหตุผล ทางออกที่ดีที่สุดจะป้องกันไวรัสไม่ให้เข้าสู่ระบบและใช้โปรแกรมป้องกันไวรัสที่มีระดับการป้องกันที่มีประสิทธิภาพต่อการรุกล้ำของมัลแวร์ที่เป็นอันตราย

อย่างไรก็ตามหากการติดเชื้อเกิดขึ้นแล้ว ความปรารถนาตามธรรมชาติที่จะทำความสะอาดระบบปฏิบัติการของไวรัสทันทีก็อาจส่งผลเสียเช่นกัน เมื่อลบไวรัส โปรแกรมป้องกันไวรัสยังสามารถลบไฟล์ที่มีประโยชน์บางไฟล์ออกจากคอมพิวเตอร์ของผู้ใช้ตามอัลกอริทึมที่ใช้ เป็นผลให้สิ่งนี้อาจนำไปสู่ความเสียหายเพิ่มเติมและการลบไฟล์เพิ่มเติมจากคอมพิวเตอร์ของผู้ใช้หรือการสูญเสียข้อมูลบางส่วนอย่างถาวร ดังนั้นจึงเป็นการดีกว่าถ้าทำกระบวนการกู้คืนข้อมูลให้เสร็จสิ้นก่อนที่จะเริ่มขั้นตอนการทำความสะอาดดิสก์เพื่อหาไวรัส

บทสรุป

การใช้อุปกรณ์คอมพิวเตอร์อย่างแพร่หลาย ความง่ายในการใช้งาน และวงกว้าง ฟังก์ชั่นทำให้พวกเขาเป็นผู้นำในด้านการประมวลผลและจัดเก็บข้อมูลต่างๆ เมื่อพิจารณาถึงความนิยมอย่างสูงของอุปกรณ์คอมพิวเตอร์ควบคู่ไปกับการพัฒนาเครือข่ายคอมพิวเตอร์สารสนเทศ "อินเทอร์เน็ต"และการถ่ายโอนข้อมูลส่วนใหญ่ในรูปแบบดิจิทัล ความเสี่ยงที่จะได้รับผลกระทบจากโปรแกรมที่เป็นอันตรายซึ่งมีจุดมุ่งหมายเพื่อสร้างความเสียหายให้กับข้อมูลผู้ใช้หรือการขโมยข้อมูลเพื่อวัตถุประสงค์ในการฉ้อโกงเพิ่มขึ้นอย่างมาก

ไวรัสมีการพัฒนาทุกวัน จำนวนไวรัสเพิ่มขึ้นอย่างรวดเร็วและก่อให้เกิดอันตรายร้ายแรงต่อผู้ใช้และข้อมูลของพวกเขา การใช้ขั้นสูงอันทรงพลัง โปรแกรมป้องกันไวรัสช่วยลดความเสี่ยงที่อาจเกิดขึ้นจากการติดอุปกรณ์คอมพิวเตอร์ได้อย่างมาก แต่เนื่องจากการค้นหาช่องโหว่ของระบบที่ใช้โดยอัลกอริธึมไวรัสที่หลากหลาย จึงไม่ได้ให้การรับประกันความปลอดภัยของข้อมูลอย่างสมบูรณ์ ส่งผลให้ข้อมูลผู้ใช้อาจเสียหายหรือสูญหายโดยสิ้นเชิง

อย่างไรก็ตามระบบปฏิบัติการ รองรับระบบไฟล์เต็มรูปแบบที่ใช้ในระบบปฏิบัติการมีเครื่องมือสำรองข้อมูลและการกู้คืนระบบในตัว ซึ่งโดยส่วนใหญ่แล้วจะช่วยให้ผู้ใช้กู้คืนข้อมูลที่สูญหายได้

ในบางกรณีเครื่องมือรักษาความปลอดภัยของระบบ รองรับระบบไฟล์เต็มรูปแบบที่ใช้ในระบบปฏิบัติการไม่เพียงพอ ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องมีซอฟต์แวร์กู้คืนไฟล์ระดับมืออาชีพที่สามารถกู้คืนข้อมูลผู้ใช้ที่สูญหายเนื่องจากการติดไวรัสและเหตุผลอื่น ๆ อีกมากมาย

โทรจัน ransomware ตัวแรกของโทรจันตระกูล Encoder ปรากฏในปี 2549-2550 ตั้งแต่เดือนมกราคม 2552 จำนวนพันธุ์เพิ่มขึ้นประมาณ 1900%! ปัจจุบัน Trojan.Encoder เป็นหนึ่งในภัยคุกคามที่อันตรายที่สุดสำหรับผู้ใช้ โดยมีการแก้ไขหลายพันครั้ง ตั้งแต่เดือนเมษายน 2556 ถึงมีนาคม 2558 ห้องปฏิบัติการไวรัส Doctor Web ได้รับคำขอ 8,553 รายการเพื่อถอดรหัสไฟล์ที่ได้รับผลกระทบจากโทรจันตัวเข้ารหัส
ไวรัสเข้ารหัสเกือบจะชนะอันดับหนึ่งในการร้องขอไปยังฟอรัม ความปลอดภัยของข้อมูล- โดยเฉลี่ยทุกวัน มีเพียงพนักงานของห้องปฏิบัติการไวรัส Doctor Web เท่านั้นที่ได้รับคำขอถอดรหัส 40 รายการจากผู้ใช้ที่ติดไวรัสโทรจันเข้ารหัสประเภทต่างๆ ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, ตู้เซฟดิจิตอล, เคสดิจิตอล, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, ห้องนิรภัยและอื่น ๆ) สัญญาณหลักของการติดเชื้อดังกล่าวคือการเปลี่ยนนามสกุลของไฟล์ผู้ใช้ เช่น ไฟล์เพลง ไฟล์รูปภาพ เอกสาร ฯลฯ เมื่อคุณพยายามเปิด จะมีข้อความปรากฏขึ้นจากผู้โจมตีเพื่อเรียกร้องการชำระเงินเพื่อรับตัวถอดรหัส นอกจากนี้ยังสามารถเปลี่ยนภาพพื้นหลังของเดสก์ท็อป ลักษณะของเอกสารข้อความและหน้าต่างพร้อมข้อความที่เกี่ยวข้องเกี่ยวกับการเข้ารหัส การละเมิดข้อตกลงใบอนุญาต ฯลฯ โทรจันเข้ารหัสเป็นอันตรายอย่างยิ่งต่อบริษัทการค้า เนื่องจากข้อมูลที่สูญหายจากฐานข้อมูลและเอกสารการชำระเงินสามารถขัดขวางการทำงานของบริษัทเป็นระยะเวลาไม่จำกัด ส่งผลให้สูญเสียผลกำไร

โทรจันจากตระกูล Trojan.Encoder ใช้อัลกอริธึมที่แตกต่างกันมากมายสำหรับการเข้ารหัสไฟล์ผู้ใช้ ตัวอย่างเช่น หากต้องการค้นหาคีย์สำหรับถอดรหัสไฟล์ที่เข้ารหัสโดย Trojan.Encoder.741 โดยใช้วิธี bruteforce คุณจะต้องมี:
107902838054224993544152335601ปี

การถอดรหัสไฟล์ที่เสียหายจากโทรจันสามารถทำได้ไม่เกิน 10% ของกรณี ซึ่งหมายความว่าข้อมูลผู้ใช้ส่วนใหญ่จะสูญหายไปตลอดกาล

ปัจจุบันแรนซั่มแวร์มีความต้องการมากถึง 1,500 บิทคอยน์.

แม้ว่าคุณจะจ่ายค่าไถ่ให้กับผู้โจมตีก็ตาม มันจะไม่รับประกันการกู้คืนข้อมูลใด ๆ แก่คุณ.

เป็นเรื่องแปลกประหลาด - มีการบันทึกคดีเมื่อถึงแม้จะจ่ายค่าไถ่แล้ว แต่อาชญากรก็ไม่สามารถถอดรหัสไฟล์ที่เข้ารหัสโดยโทรจันได้ ตัวเข้ารหัสที่พวกเขาสร้างขึ้น และส่งผู้ใช้ที่เป็นเหยื่อเพื่อขอความช่วยเหลือ... ไปยังบริการ การสนับสนุนด้านเทคนิคบริษัทแอนตี้ไวรัส!

การติดเชื้อเกิดขึ้นได้อย่างไร?

• ผ่านการลงทุนใน อีเมล- วิธี วิศวกรรมสังคมผู้โจมตีบังคับให้ผู้ใช้เปิดไฟล์ที่แนบมา
• การใช้การติดไวรัส Zbot ซึ่งปลอมตัวเป็นไฟล์แนบ PDF
• ผ่านชุดช่องโหว่ที่อยู่บนเว็บไซต์ที่ถูกแฮ็กซึ่งใช้ช่องโหว่บนคอมพิวเตอร์เพื่อติดตั้งการติดไวรัส
• ผ่านโทรจันที่เสนอให้ดาวน์โหลดเครื่องเล่นที่จำเป็นในการดูวิดีโอออนไลน์ สิ่งนี้มักจะเกิดขึ้นบนเว็บไซต์ลามก
• ผ่าน RDP โดยใช้การเดารหัสผ่านและช่องโหว่ในโปรโตคอลนี้
• การใช้คีย์เจน แคร็ก และยูทิลิตี้การเปิดใช้งานที่ติดไวรัส

เมื่อใช้การคาดเดารหัสผ่าน RDP ผู้โจมตี เขาเข้ามาด้วยตัวเขาเองภายใต้บัญชีที่ถูกแฮ็ก ปิดมันเองหรือดาวน์โหลดผลิตภัณฑ์ป้องกันไวรัสและ เปิดตัวตัวเองการเข้ารหัส

ผู้โจมตีจะใช้ประโยชน์จากความไร้เดียงสาของคุณจนกว่าคุณจะเลิกกลัวจดหมายที่มีหัวข้อ "หนี้" "การดำเนินคดีอาญา" ฯลฯ

ลองคิดดูสิ... เรียนรู้ตัวเองและสอนผู้อื่นถึงพื้นฐานด้านความปลอดภัยที่ง่ายที่สุด!

• อย่าเปิดไฟล์แนบจากอีเมลที่ได้รับจากผู้รับที่ไม่รู้จัก ไม่ว่าส่วนหัวจะน่ากลัวแค่ไหนก็ตาม หากไฟล์แนบมาถึงในรูปแบบไฟล์เก็บถาวร ให้จัดการปัญหาเพียงแค่ดูเนื้อหาของไฟล์เก็บถาวร และหากมีไฟล์ปฏิบัติการ (นามสกุล .exe, .com, .bat, .cmd, .scr) นี่จะเป็นกับดักสำหรับคุณ 99.(9)%
• หากคุณยังคงกลัวบางสิ่งบางอย่างอย่าขี้เกียจที่จะค้นหาความจริง ที่อยู่อีเมลองค์กรที่มีจดหมายมาถึงคุณในนามของคุณ การค้นพบนี้ไม่ใช่เรื่องยากในยุคข้อมูลข่าวสารของเรา
• แม้ว่าที่อยู่ของผู้ส่งจะเป็นจริงก็ตาม อย่าขี้เกียจที่จะตรวจสอบทางโทรศัพท์ว่าจดหมายดังกล่าวถูกส่งไปแล้วหรือไม่ ที่อยู่ของผู้ส่งสามารถปลอมแปลงได้อย่างง่ายดายโดยใช้เซิร์ฟเวอร์ smtp ที่ไม่ระบุชื่อ
• หากผู้ส่งบอกว่า Sberbank หรือ Russian Post ก็ไม่มีความหมายอะไรเลย ตัวอักษรปกติควรลงนามด้วยลายเซ็นอิเล็กทรอนิกส์ตามหลักการ โปรดตรวจสอบไฟล์ที่แนบมากับอีเมลดังกล่าวอย่างละเอียดก่อนที่จะเปิด
• ทำอย่างสม่ำเสมอ การสำรองข้อมูลข้อมูลในสื่อแยกต่างหาก
• ลืมเรื่องการใช้ไปได้เลย รหัสผ่านง่ายๆซึ่งง่ายต่อการรับและเข้า เครือข่ายท้องถิ่นองค์กรภายใต้ข้อมูลของคุณ สำหรับการเข้าถึง RDP ให้ใช้ใบรับรอง การเข้าถึง VPN หรือการตรวจสอบสิทธิ์แบบสองปัจจัย
• ไม่เคยทำงานกับสิทธิ์ของผู้ดูแลระบบ โปรดใส่ใจกับข้อความ ยูเอซีแม้ว่าพวกเขาจะมีก็ตาม "สีฟ้า"สมัครแล้วอย่าคลิก "ใช่",หากคุณไม่ได้ทำการติดตั้งหรืออัพเดต
• ติดตั้งการอัปเดตความปลอดภัยเป็นประจำไม่เพียงแต่สำหรับระบบปฏิบัติการ แต่ยังรวมถึงโปรแกรมแอปพลิเคชันด้วย
• ติดตั้ง รหัสผ่านสำหรับการตั้งค่าโปรแกรมป้องกันไวรัสแตกต่างจากรหัสผ่าน บัญชีให้เปิดใช้งานตัวเลือกการป้องกันตัวเอง

ให้เราอ้างอิงคำแนะนำของ Dr.Web และ Kaspersky Lab:

• ปิดคอมพิวเตอร์ของคุณทันทีเพื่อหยุดโทรจัน ปุ่มรีเซ็ตบนคอมพิวเตอร์ของคุณสามารถบันทึกข้อมูลส่วนสำคัญได้
• ไซต์แสดงความคิดเห็น: แม้ว่าห้องปฏิบัติการที่มีชื่อเสียงจะให้คำแนะนำดังกล่าว แต่ในบางกรณีการใช้งานจะทำให้การถอดรหัสซับซ้อนขึ้น เนื่องจากคีย์อาจถูกเก็บไว้ใน แรมและหลังจากรีบูตระบบแล้วจะไม่สามารถกู้คืนได้ หากต้องการหยุดการเข้ารหัสเพิ่มเติม คุณสามารถหยุดการดำเนินการของกระบวนการแรนซัมแวร์ได้โดยใช้ Process Explorer หรือสำหรับคำแนะนำเพิ่มเติม

สปอยเลอร์: เชิงอรรถ

ไม่มีตัวเข้ารหัสใดที่สามารถเข้ารหัสข้อมูลทั้งหมดได้ทันที ดังนั้นจนกว่าการเข้ารหัสจะเสร็จสมบูรณ์ บางส่วนจะยังคงไม่ถูกแตะต้อง และยิ่งเวลาผ่านไปมากขึ้นนับตั้งแต่เริ่มการเข้ารหัส ข้อมูลก็จะยังคงอยู่น้อยลง เนื่องจากหน้าที่ของเราคือบันทึกพวกมันให้ได้มากที่สุด เราจึงต้องหยุดการทำงานของตัวเข้ารหัส โดยหลักการแล้ว คุณสามารถเริ่มวิเคราะห์รายการกระบวนการ ค้นหาว่าโทรจันอยู่ที่ไหน ลองยุติมัน... แต่เชื่อฉันเถอะว่าการถอดสายไฟนั้นเร็วกว่ามาก! เสร็จสิ้นเป็นประจำ การทำงานของวินโดวส์เป็นทางเลือกที่ดี แต่อาจใช้เวลาสักระยะ ไม่เช่นนั้นโทรจันอาจรบกวนการทำงานของมัน ทางเลือกของฉันคือการดึงสายไฟ ขั้นตอนนี้มีข้อเสียอย่างไม่ต้องสงสัย: ความเป็นไปได้ที่จะสร้างความเสียหายให้กับระบบไฟล์และความเป็นไปไม่ได้ที่จะทำการถ่ายโอนข้อมูล RAM ต่อไป เสียหาย ระบบไฟล์สำหรับผู้ที่ไม่ได้เตรียมตัวไว้ ปัญหาจะร้ายแรงกว่าตัวเข้ารหัส อย่างน้อยไฟล์จะยังคงอยู่หลังจากตัวเข้ารหัส แต่ความเสียหายต่อตารางพาร์ติชันจะทำให้ไม่สามารถบูตระบบปฏิบัติการได้ ในทางกลับกันผู้เชี่ยวชาญด้านการกู้คืนข้อมูลที่มีความสามารถจะซ่อมแซมตารางพาร์ติชันเดียวกันโดยไม่มีปัญหาใด ๆ แต่ตัวเข้ารหัสอาจไม่มีเวลาเข้าถึงไฟล์จำนวนมาก

ในการเริ่มดำเนินคดีอาญาต่อผู้โจมตี หน่วยงานบังคับใช้กฎหมายจำเป็นต้องมีเหตุผลตามขั้นตอน - คำแถลงของคุณเกี่ยวกับอาชญากรรม แอปพลิเคชันตัวอย่าง

เตรียมคอมพิวเตอร์ของคุณให้พร้อมสำหรับการตรวจสอบ

หากพวกเขาปฏิเสธที่จะยอมรับใบสมัครของคุณ ให้รับการปฏิเสธเป็นลายลักษณ์อักษรและยื่นเรื่องร้องเรียนกับหน่วยงานตำรวจที่สูงกว่า (หัวหน้าตำรวจในเมืองหรือภูมิภาคของคุณ)

• ห้ามพยายามติดตั้งระบบปฏิบัติการใหม่ไม่ว่าในกรณีใดๆ
• อย่าลบไฟล์หรือข้อความอีเมลใด ๆ บนคอมพิวเตอร์ของคุณ
• อย่าเรียกใช้ "ตัวล้าง" ของไฟล์ชั่วคราวและรีจิสตรี
• คุณไม่ควรสแกนและรักษาคอมพิวเตอร์ของคุณด้วยโปรแกรมป้องกันไวรัสและ ยูทิลิตี้ป้องกันไวรัสและโดยเฉพาะอย่างยิ่ง LiveCD ป้องกันไวรัส เป็นทางเลือกสุดท้ายที่คุณสามารถย้ายไฟล์ที่ติดไวรัสไปยังเขตกักกันป้องกันไวรัสได้

สปอยเลอร์: เชิงอรรถ

สำหรับการถอดรหัส ไฟล์ขนาด 40 ไบต์ที่ไม่เด่นในไดเร็กทอรีชั่วคราวหรือทางลัดที่ไม่สามารถเข้าใจได้บนเดสก์ท็อปอาจมีความสำคัญมากที่สุด คุณอาจไม่รู้ว่าสิ่งเหล่านี้จะมีความสำคัญสำหรับการถอดรหัสหรือไม่ ดังนั้นจึงเป็นการดีกว่าที่จะไม่แตะต้องอะไรเลย โดยทั่วไปการทำความสะอาดรีจิสทรีเป็นขั้นตอนที่น่าสงสัย และตัวเข้ารหัสบางตัวก็ทิ้งร่องรอยการทำงานไว้ที่นั่นซึ่งมีความสำคัญสำหรับการถอดรหัส แน่นอนว่าแอนติไวรัสสามารถค้นหาส่วนเนื้อหาของโทรจันตัวเข้ารหัสได้ และพวกเขาสามารถลบมันได้เพียงครั้งเดียว แต่จะเหลืออะไรให้วิเคราะห์ล่ะ? เราจะเข้าใจได้อย่างไรว่าไฟล์ถูกเข้ารหัสอย่างไรและอย่างไร? ดังนั้นจึงควรทิ้งสัตว์ไว้บนดิสก์จะดีกว่า อื่น จุดสำคัญ: ฉันไม่รู้จักระบบทำความสะอาดใดๆ ที่คำนึงถึงความสามารถของตัวเข้ารหัสในการทำงานและรักษาร่องรอยการทำงานทั้งหมดไว้ และเป็นไปได้มากว่าเงินดังกล่าวจะไม่ปรากฏ การติดตั้งระบบใหม่จะทำลายร่องรอยของโทรจันทั้งหมดอย่างแน่นอน ยกเว้นไฟล์ที่เข้ารหัส

• อย่าพยายามกู้คืนไฟล์ที่เข้ารหัสด้วยตัวเอง;

สปอยเลอร์: เชิงอรรถ

หากคุณมีเวลาสองสามปีในการเขียนโปรแกรม คุณจะเข้าใจจริงๆ ว่า RC4, AES, RSA คืออะไร และมีความแตกต่างกันอย่างไร คุณรู้ว่า Hiew คืออะไร และ 0xDEADC0DE หมายถึงอะไร คุณสามารถลองดูได้ ฉันไม่แนะนำให้คนอื่น สมมติว่าคุณพบวิธีมหัศจรรย์ในการถอดรหัสไฟล์และคุณยังสามารถถอดรหัสไฟล์ได้เพียงไฟล์เดียว นี่ไม่ได้รับประกันว่าเทคนิคนี้จะใช้ได้กับไฟล์ทั้งหมดของคุณ ยิ่งไปกว่านั้น นี้ไม่รับประกันว่าการใช้วิธีนี้คุณจะไม่ทำให้ไฟล์เสียหายอีกต่อไป แม้แต่ในงานของเราก็ยังมีช่วงเวลาที่ไม่พึงประสงค์เมื่อพบข้อผิดพลาดร้ายแรงในรหัสถอดรหัส แต่ในหลายพันกรณีจนถึงจุดนี้รหัสทำงานได้อย่างที่ควรจะเป็น

ตอนนี้เป็นที่ชัดเจนว่าอะไรควรทำและไม่ควรทำ คุณก็สามารถเริ่มถอดรหัสได้ ตามทฤษฎีแล้ว การถอดรหัสนั้นเป็นไปได้เกือบตลอดเวลา นี่คือถ้าคุณทราบข้อมูลทั้งหมดที่จำเป็นสำหรับมัน หรือมีเงิน เวลา และไม่จำกัดจำนวน แกนประมวลผล- ในทางปฏิบัติ บางสิ่งสามารถถอดรหัสได้เกือบจะในทันที บางสิ่งบางอย่างจะรอถึงคราวของมันสองสามเดือนหรือหลายปี ในบางกรณี คุณไม่จำเป็นต้องจัดการด้วยซ้ำ จะไม่มีใครเช่าซูเปอร์คอมพิวเตอร์ฟรีเป็นเวลา 5 ปี เป็นเรื่องแย่ที่กรณีที่ดูเหมือนเรียบง่ายกลายเป็นเรื่องซับซ้อนอย่างยิ่งเมื่อตรวจสอบอย่างละเอียด ขึ้นอยู่กับคุณที่จะตัดสินใจว่าจะติดต่อใคร

• ติดต่อห้องปฏิบัติการป้องกันไวรัสของบริษัทที่มีแผนกวิเคราะห์ไวรัสที่เกี่ยวข้องกับปัญหานี้
• แนบไฟล์ที่เข้ารหัสโทรจันเข้ากับตั๋ว (และหากเป็นไปได้ ให้แนบสำเนาที่ไม่ได้เข้ารหัสไว้ด้วย)
• รอการตอบกลับของนักวิเคราะห์ไวรัส เนื่องจากมีคำขอจำนวนมาก การดำเนินการนี้อาจใช้เวลาระยะหนึ่ง

วิธีการกู้คืนไฟล์?

ที่อยู่พร้อมแบบฟอร์มสำหรับส่งไฟล์ที่เข้ารหัส:

• ดร.เว็บ (แอปพลิเคชันสำหรับการถอดรหัสฟรีได้รับการยอมรับจากผู้ใช้เท่านั้น โปรแกรมป้องกันไวรัสที่ครอบคลุมดรูเว็บ)
• Kaspersky Lab (คำขอถอดรหัสฟรีได้รับการยอมรับจากผู้ใช้ผลิตภัณฑ์เชิงพาณิชย์ของ Kaspersky Lab เท่านั้น)
• อีเซต, แอลแอลซี ( แอปพลิเคชันสำหรับการถอดรหัสฟรีได้รับการยอมรับจากผู้ใช้ผลิตภัณฑ์เชิงพาณิชย์ของ ESET เท่านั้น)
• โครงการ No More Ransom Project (การคัดเลือกผู้ถอดรหัสโค้ด)
• ผู้เข้ารหัส - ผู้กรรโชกทรัพย์ (การเลือกผู้ถอดรหัส)
• ID Ransomware (ตัวเลือกตัวถอดรหัส)

เรา เราไม่แนะนำอย่างแน่นอนกู้คืนไฟล์ด้วยตัวเอง เพราะหากคุณทำไม่ถูกต้อง ข้อมูลทั้งหมดอาจสูญหายได้โดยไม่ต้องกู้คืนอะไรเลย!!! นอกจากนี้การกู้คืนไฟล์ที่เข้ารหัสโดยโทรจันบางประเภท มันเป็นไปไม่ได้เลยเนื่องจากความเข้มแข็งของกลไกการเข้ารหัส

ยูทิลิตี้การกู้คืนไฟล์ที่ถูกลบ:
โทรจันแรนซัมแวร์บางประเภทจะสร้างสำเนาของไฟล์ที่เข้ารหัส เข้ารหัส และ ไฟล์ต้นฉบับในกรณีนี้คุณสามารถใช้ยูทิลิตี้ตัวใดตัวหนึ่งเพื่อกู้คืนไฟล์ได้ (แนะนำให้ใช้โปรแกรมเวอร์ชันพกพาที่ดาวน์โหลดและบันทึกไว้ในแฟลชไดรฟ์บนคอมพิวเตอร์เครื่องอื่น):

• อาร์.เซฟเวอร์
• รีคิววา
• JPEG Ripper - ยูทิลิตี้สำหรับการกู้คืนภาพที่เสียหาย
• คำอธิบายการสแกน JPG)
• PhotoRec - ยูทิลิตี้สำหรับกู้คืนภาพที่เสียหาย (คำอธิบาย)

วิธีการแก้ปัญหากับบางเวอร์ชั่น ล็อคไดร์

โฟลเดอร์ที่เข้ารหัสด้วย Lockdir บางเวอร์ชันสามารถเปิดได้โดยใช้โปรแกรมเก็บถาวร 7-zip

หลังจากการกู้คืนข้อมูลสำเร็จ คุณต้องตรวจสอบระบบเพื่อหามัลแวร์ โดยคุณควรเรียกใช้และสร้างหัวข้อที่อธิบายปัญหาในส่วนนี้

การกู้คืนไฟล์ที่เข้ารหัสโดยใช้ระบบปฏิบัติการ

ในการกู้คืนไฟล์โดยใช้ระบบปฏิบัติการ คุณต้องเปิดใช้งานการป้องกันระบบก่อนที่โทรจันแรนซัมแวร์จะเข้าสู่คอมพิวเตอร์ของคุณ โทรจันแรนซัมแวร์ส่วนใหญ่จะพยายามลบ Shadow Copy บนคอมพิวเตอร์ของคุณ แต่บางครั้งก็ไม่สามารถทำได้ (หากคุณไม่มีสิทธิ์ระดับผู้ดูแลระบบและติดตั้งไว้ อัพเดตวินโดวส์) และคุณสามารถใช้ Shadow Copy เพื่อการกู้คืนได้ ไฟล์ที่เสียหาย.

โปรดจำไว้ว่าคำสั่งให้ลบ Shadow Copy:

รหัส:

Vssadmin ลบเงา

ใช้งานได้กับสิทธิ์ของผู้ดูแลระบบเท่านั้น ดังนั้นหลังจากเปิดใช้งานการป้องกัน คุณจะต้องทำงานภายใต้ผู้ใช้เท่านั้น สิทธิอันจำกัดและให้ความสนใจกับคำเตือน UAC ทั้งหมดเกี่ยวกับความพยายามที่จะเพิ่มระดับสิทธิ์

สปอยเลอร์: จะเปิดใช้งานการป้องกันระบบได้อย่างไร?

จะกู้คืนไฟล์เวอร์ชันก่อนหน้าได้อย่างไรหลังจากที่ไฟล์เสียหาย?

บันทึก:

การกู้คืนจากคุณสมบัติของไฟล์หรือโฟลเดอร์โดยใช้แท็บ "เวอร์ชันก่อนหน้า" จะพร้อมใช้งาน เฉพาะใน Windows 7 รุ่นไม่ต่ำกว่า "Professional" เท่านั้น- Windows 7 รุ่น Home และระบบปฏิบัติการ Windows รุ่นใหม่ทุกรุ่นมีวิธีแก้ไขปัญหาชั่วคราว (ภายใต้สปอยเลอร์)

สปอยล์

วิธีที่สอง -นี่คือการใช้ยูทิลิตี้ ShadowExplorer(คุณสามารถดาวน์โหลดทั้งตัวติดตั้งและยูทิลิตี้เวอร์ชันพกพา)

เรียกใช้โปรแกรม
เลือกไดรฟ์และวันที่ที่คุณต้องการกู้คืนไฟล์

เลือกไฟล์หรือโฟลเดอร์ที่จะกู้คืนและคลิกขวาที่ไฟล์
เลือกรายการเมนู ส่งออกและระบุเส้นทางไปยังโฟลเดอร์ที่คุณต้องการกู้คืนไฟล์จาก Shadow Copy

วิธีป้องกันตนเองจากโทรจันแรนซัมแวร์

น่าเสียดายที่วิธีการป้องกันโทรจัน ransomware สำหรับ ผู้ใช้ทั่วไปค่อนข้างซับซ้อน เนื่องจากจำเป็นต้องมีนโยบายความปลอดภัยหรือการตั้งค่า HIPS เพื่อให้สามารถเข้าถึงไฟล์ได้เฉพาะบางแอปพลิเคชันเท่านั้น และไม่ได้ให้การป้องกัน 100% ในกรณีที่มีโทรจันฝังอยู่ พื้นที่ที่อยู่แอปพลิเคชันที่เชื่อถือได้ เพราะฉะนั้นเท่านั้น ในทางที่เข้าถึงได้การป้องกันคือการสำรองไฟล์ผู้ใช้ไปยังสื่อแบบถอดได้ นอกจากนี้หากผู้ให้บริการรายดังกล่าวเป็น ภายนอกยากดิสก์หรือแฟลชไดรฟ์ สื่อเหล่านี้ควรเชื่อมต่อกับคอมพิวเตอร์เฉพาะในช่วงระยะเวลาการสำรองข้อมูลและตัดการเชื่อมต่อตลอดเวลาที่เหลือ เพื่อความปลอดภัยที่มากขึ้น การสำรองข้อมูลสามารถทำได้โดยการบูตจาก ไลฟ์ซีดี- การสำรองข้อมูลสามารถทำได้ในสิ่งที่เรียกว่า " ที่เก็บข้อมูลบนคลาวด์ " จัดทำโดยบางบริษัท

การตั้งค่าโปรแกรมป้องกันไวรัสเพื่อลดโอกาสในการติดไวรัสโทรจันแรนซัมแวร์

ใช้กับผลิตภัณฑ์ทั้งหมด:

จำเป็นต้องเปิดใช้งานโมดูลป้องกันตัวเองและติดตั้ง รหัสผ่านที่ซับซ้อนไปที่การตั้งค่าแอนตี้ไวรัส!!!

คุณกำลังมองหาโปรแกรมกู้คืนไฟล์ที่เสียหายหรือไม่? หลังจากกู้คืนข้อมูลที่ถูกลบไปแล้ว ไฟล์ที่จำเป็นอย่าเปิดหรือเปิดโดยมีข้อความแสดงข้อผิดพลาด? ไม่ทราบวิธีการคืนค่าโครงสร้างของภาพถ่ายที่เสียหายใช่ไหม?

กู้คืนไฟล์ที่เสียหายด้วยโปรแกรม

ใช้ RS File Repair เพื่อกู้คืนข้อมูลที่เสียหาย โปรแกรมจะแก้ไขข้อผิดพลาดในโครงสร้างไฟล์อย่างรวดเร็วและเรียกคืนเป็นรูปแบบดั้งเดิม วิซาร์ดการกู้คืนทีละขั้นตอนและอินเทอร์เฟซสไตล์ MS Windows Explorer ทำให้การทำงานกับยูทิลิตีนี้เป็นเรื่องง่ายและตรงไปตรงมา โดยไม่จำเป็นต้องใช้ทักษะพิเศษ ด้วยเหตุนี้ผู้ใช้แต่ละคนจึงสามารถค้นหาและกู้คืนไฟล์ที่จำเป็นได้อย่างรวดเร็วแม้ว่าจะได้รับความเสียหายร้ายแรงก็ตาม

ด้วย RS File Repair คุณสามารถ "แก้ไข" ไฟล์ได้สองวิธี

หากคุณกู้คืนข้อมูลโดยใช้วิซาร์ด คุณจะสามารถทำงานกับไฟล์หลายไฟล์พร้อมกันได้ แม้ว่าจะอยู่ในนั้นก็ตาม โฟลเดอร์ที่แตกต่างกัน- โปรแกรมจะซ่อมแซมความเสียหายและบันทึกไฟล์ลงในโฟลเดอร์ที่คุณเลือก

หากคุณไม่ได้ใช้วิซาร์ดในการกู้คืนไฟล์ที่เสียหาย ฟังก์ชันแสดงตัวอย่างจะพร้อมใช้งานสำหรับคุณ และคุณจะสามารถดูตัวอย่างไฟล์ที่แก้ไขก่อนบันทึกได้

การกู้คืนไฟล์ที่เสียหายโดยใช้ตัวช่วยสร้าง

ในแต่ละหน้าต่างวิซาร์ดใหม่ คุณจะพบรายละเอียด คำแนะนำทีละขั้นตอนซึ่งจะช่วยให้คุณกู้คืนไฟล์ที่เสียหายได้อย่างง่ายดาย หากคุณต้องการเริ่มทำงานกับวิซาร์ดทุกครั้งที่คุณเริ่มโปรแกรม ให้ใช้ตัวเลือก “แสดงวิซาร์ดเมื่อเริ่มโปรแกรม”

ในหน้าต่าง "เลือกไฟล์" คุณต้องระบุไฟล์ที่เสียหายที่คุณต้องการแก้ไขและบันทึก ที่นี่คุณสามารถเพิ่มไฟล์จำนวนเท่าใดก็ได้จากโฟลเดอร์ต่างๆ ลงในรายการไฟล์ที่สามารถกู้คืนได้ ลบไฟล์ออกจากรายการ หรือล้างรายการทั้งหมด คุณสามารถเลือกวิธีแสดงรายการไฟล์ที่เลือก (“ไอคอน”, “รายการ”, “ตาราง”) และใช้การเรียงลำดับไฟล์ได้

จากนั้นเลือกประเภทของการวิเคราะห์สำหรับข้อมูลที่กู้คืน ในกรณีส่วนใหญ่ การใช้ฟังก์ชัน "การวิเคราะห์" ก็เพียงพอแล้ว ซึ่งช่วยให้คุณกำจัดความเสียหายต่อโครงสร้างลอจิคัลของไฟล์ได้อย่างรวดเร็ว

การประมวลผลข้อมูลประเภทที่สอง “การวิจัย” จะใช้หากจำเป็นต้องวิเคราะห์โครงสร้างไฟล์โดยละเอียดมากขึ้น การดำเนินการนี้ใช้เวลานานกว่ามาก แต่ช่วยให้คุณสามารถกู้คืนข้อมูลที่เสียหายร้ายแรงได้ด้วยการรักษาข้อมูลจำนวนสูงสุดจากไฟล์ต้นฉบับ

ในหน้าต่างถัดไป ตัวช่วยสร้างจะแจ้งให้คุณเลือกเส้นทางเพื่อบันทึกข้อมูลที่กู้คืน (โฟลเดอร์ที่จะบันทึก) และยังกำหนดหลักการเพิ่มเติมบางประการสำหรับการบันทึกไฟล์ที่ถูกแก้ไขลงในสื่อที่เลือก

กู้คืนไฟล์ที่เสียหายด้วยการแสดงตัวอย่าง

หากคุณตัดสินใจ "ด้วยตนเอง" โดยไม่ต้องใช้วิซาร์ด ให้เลือกโฟลเดอร์ที่มีไฟล์ที่คุณต้องการอยู่ทางด้านซ้ายของหน้าต่างโปรแกรมหลัก เนื้อหาทั้งหมดของไดเร็กทอรีจะแสดงทางด้านขวาและคุณสามารถเลือกไฟล์ที่คุณต้องการได้

หากไฟล์เสียหายโปรแกรมจะไม่สามารถแสดงเนื้อหาได้ หากต้องการคืนค่าโครงสร้างให้ใช้เมนู "ไฟล์" - "การวิเคราะห์" หรือ "ไฟล์" - "การวิจัย" ของเมนูหลักของโปรแกรม หลังจากใช้งานฟังก์ชันเหล่านี้แล้ว ไฟล์ต่างๆ จะพร้อมให้ดูตัวอย่างได้

คุณใช้เวลามากมายในการเตรียมรายงาน แต่กลับได้รับความเสียหายจากไวรัสร้ายกาจ? หรือ มัลแวร์บล็อกการเข้าถึงไฟล์อันมีค่า? หยุดตื่นตระหนก! สถานการณ์สามารถปรับปรุงได้ เราจะพูดถึงเรื่องนี้เพิ่มเติมในบทความนี้

วิธีต่อต้านไวรัสและบันทึกไฟล์

ผู้ใช้ยุคใหม่ทุกคนรู้ดีว่าสิ่งแรกที่ต้องทำหลังจากซื้อคอมพิวเตอร์คือการติดตั้งโปรแกรมป้องกันไวรัส วิธีนี้จะช่วยลดความเสี่ยงของการติดไวรัสและความเสียหายต่อไฟล์ที่จัดเก็บไว้ในฮาร์ดไดรฟ์ของคุณได้อย่างมาก

หากตรวจพบภัยคุกคาม ซอฟต์แวร์จะแจ้งให้คุณทราบถึงภัยคุกคามและเสนอที่จะฆ่าเชื้อไฟล์ ลบไฟล์ ย้ายไฟล์ไปยังการกักกัน หรือไม่ดำเนินการใดๆ ดูเหมือนว่าผู้ใช้จะได้รับคำตอบที่ชัดเจน - ไฟล์นั้นจำเป็นต้องได้รับการฆ่าเชื้อ น่าเสียดายที่ปุ่มวิเศษนี้ไม่สามารถรับมือกับงานนี้ได้เสมอไป ในสถานการณ์เช่นนี้ โปรแกรมป้องกันไวรัสจะเสนอให้เลือกโซลูชันอื่น ผู้ใช้ 70% เลือกการลบและพบกับไฟล์ที่ถูกลบหรือเสียหาย

ความจริงก็คือในขณะที่สแกนคอมพิวเตอร์โปรแกรมป้องกันไวรัสสามารถทำเครื่องหมายแต่ละไฟล์ว่า "น่าสงสัย" และลบไฟล์เหล่านั้นพร้อมกับไวรัส ไม่เสมอไป ข้อมูลที่ถูกลบปรากฏว่าติดไวรัสจริง: ส่วนใหญ่แล้วไฟล์จะถูกขึ้นบัญชีดำเนื่องจากข้อผิดพลาดของระบบหรือรีจิสทรี

หากตรวจพบข้อมูลเกี่ยวกับภัยคุกคามปรากฏบนหน้าจอมอนิเตอร์ของคุณ ให้วิเคราะห์สถานการณ์ก่อน จากนั้นจึงใช้มาตรการใดๆ เท่านั้น ตัวเลือกที่ดีที่สุดจะกักกันไฟล์ที่อาจเป็นอันตราย จากนั้นจะได้รับการปกป้องจากการโต้ตอบกับโปรแกรมอื่น เพื่อป้องกันไม่ให้เชื้อแพร่กระจายไปทั่วระบบ หลังจากนั้น หากคุณพบว่าอันตรายมาจากวัตถุอื่น คุณสามารถดึงไฟล์ออกมาได้ตลอดเวลา

กู้คืนไฟล์ที่ถูกลบหรือเสียหายอย่างรวดเร็ว

หากไฟล์ถูกลบหรือเสียหาย คุณสามารถกู้คืนได้โดยใช้ซอฟต์แวร์พิเศษ บนอินเทอร์เน็ตคุณจะพบแอปพลิเคชั่นหลายร้อยรายการที่ออกแบบมาเพื่อแก้ไขปัญหานี้ บางตัวรองรับการทำงานกับรูปถ่ายเท่านั้นส่วนบางตัวเชี่ยวชาญในการส่งคืนเอกสารข้อความ แต่ยังมีโปรแกรมแบบครบวงจรอีกด้วย ตัวอย่างเช่น "ฟีนิกซ์" วิธีนี้จะทำงานได้อย่างสมบูรณ์แบบและค้นหาข้อมูลที่ถูกลบภายในไม่กี่นาที ไม่สำคัญว่าข้อมูลประเภทใดจะสูญหาย: เอกสารข้อความ, สเปรดชีต, การนำเสนอ, วิดีโอ, ไฟล์เสียง, ภาพถ่าย - PHOENIX รองรับการทำงานกับข้อมูลสมัยใหม่ทุกประเภท