วิธีการกู้คืนไฟล์หลังจากเข้ารหัสไวรัส WannaCry ransomware

สวัสดีตอนบ่ายคุณฮาบราชิเทลิกี มีการเขียนมากมายเกี่ยวกับHabréเกี่ยวกับวิธีป้องกันตัวเองจาก WannaCry แต่ด้วยเหตุผลบางประการ ไม่มีการอธิบายวิธีส่งคืนข้อมูลที่เข้ารหัสที่ไหนเลย ฉันต้องการเติมเต็มช่องว่างนี้ และให้ความกระจ่างเล็กน้อยว่าเราทำเช่นนี้ได้อย่างไรในบริษัท “ที่มีชื่อเสียง” ของเราที่เกี่ยวข้องกับโลจิสติกส์ นี่เป็นคำแนะนำเพิ่มเติมสำหรับผู้ดูแลระบบความปลอดภัยข้อมูลของเรา

การกู้คืนหลังจากการเข้ารหัสข้อมูล

นี่ไม่ใช่การถอดรหัส แต่เป็นการกู้คืน และใช้งานได้ก็ต่อเมื่อเปิดใช้งานการคัดลอกเงาใน windows เช่น ข้อมูลสามารถกู้คืนได้จากจุดคืนค่าของ Windows เอง

ในการดำเนินการนี้คุณสามารถใช้ยูทิลิตี้ ShadowExplorer ซึ่งฟรีและช่วยให้คุณสามารถกู้คืนไฟล์จากจุดกู้คืนได้ จุดคืนค่าจะถูกสร้างขึ้นทุกครั้งที่ระบบได้รับการอัปเดตและจุดคืนค่าเก่าจะถูกเขียนทับด้วยจุดใหม่ จำนวนคะแนนขึ้นอยู่กับพื้นที่ที่จัดสรรไว้สำหรับคะแนนการกู้คืน โดยเฉลี่ยแล้ว 5-6 รายการจะถูกเก็บไว้ใน Windows โดยเฉลี่ย

เลือกจุดกู้คืนและคุณสามารถส่งออกไฟล์และไดเร็กทอรีไปยังตำแหน่งที่คุณต้องการ:

เลือกไฟล์เหล่านั้นที่ยังไม่ได้เข้ารหัสและส่งออกไปยังตำแหน่งที่คุณต้องการ

(ในบางกรณี เมื่อการอัปเดตผ่านไปแล้ว จุดการกู้คืนเหล่านั้นอาจถูกเขียนทับเมื่อไฟล์ยังไม่ได้เข้ารหัส อาจเป็นไปได้ว่าข้อมูลบางส่วนได้รับการเข้ารหัสแล้วในจุดการกู้คืน แต่บางจุดยังไม่ได้เข้ารหัส คุณ ต้องคืนค่าเฉพาะส่วนที่กู้คืนได้เท่านั้น)

โดยหลักการแล้ว นั่นคือทั้งหมดที่จำเป็นสำหรับการฟื้นฟูหากเป็นไปได้

สำคัญ!หลังจากกู้คืนไฟล์แล้ว คุณจะต้องลบจุดกู้คืนที่มีการเข้ารหัสข้อมูลไว้แล้ว สังเกตได้ว่านี่คือจุดที่ไวรัสจะฟื้นฟูตัวเองหลังการทำความสะอาด

กู้คืนข้อมูล ตลอดจนต่อต้านและกำจัดไวรัส:

1. ตัดการเชื่อมต่อคอมพิวเตอร์ของคุณจากเครือข่าย
2. ถัดไปคุณต้องใช้ยูทิลิตี้ wann_kill_v_(หมายเลขเวอร์ชัน) - ยูทิลิตี้นี้จะฆ่ากระบวนการของไวรัส ลายเซ็นไวรัสนั้นยังคงถูกจัดเก็บไว้ในระบบ เราทำเช่นนี้เพราะว่า เมื่อคุณนำแฟลชไดรฟ์ไปยังคอมพิวเตอร์ที่ต้องฆ่าเชื้อ ไวรัสจะเข้ารหัสแฟลชไดรฟ์ สิ่งสำคัญคือต้องเรียกใช้ยูทิลิตี้นี้ก่อนที่ไวรัสจะเข้าสู่แฟลชไดรฟ์

3. ทำความสะอาดคอมพิวเตอร์ของคุณโดยใช้ DrWeb CureIt (นี่คือไวรัสที่ถูกลบออกจากคอมพิวเตอร์)
4. กู้คืนข้อมูลที่คุณต้องการตามที่อธิบายไว้ข้างต้น “ หลังจากการเข้ารหัสข้อมูล»
5. (หลังจากการกู้คืนข้อมูลเท่านั้น)ทำลายจุดฟื้นตัว เพราะนี่คือจุดที่ไวรัสจะฟื้นฟูตัวเองหลังจากทำความสะอาด

การป้องกันระบบ:

ปรับแต่ง:

ลบ.

6. จากนั้นจึงออกแพตช์ KB4012212 เพื่อปิดช่องโหว่เครือข่าย MS17-010
7. เปิดเครือข่ายและติดตั้ง (หรืออัพเดต) ซอฟต์แวร์ป้องกันไวรัส

นั่นคือวิธีที่ฉันต่อสู้กับไวรัส Wanna Cry โดยพื้นฐานแล้ว

แท็ก: WannaCry, การถอดรหัส

อ่าน:

การฟอร์แมตผ่าน BIOS จัดระเบียบสิ่งต่าง ๆ - ทำความสะอาดฮาร์ดไดรฟ์ใน Windows 10 Wanna Cry “ตะโกน” ไปทั่วโลก - วิธีแก้ปัญหาไวรัส ส่งจดหมายชั่วคราวเป็นเวลา 10 นาทีโดยไม่ต้องลงทะเบียน จะทำอย่างไรและจะปลดล็อคได้อย่างไร?

อ่าน: