Paano mabawi ang mga file pagkatapos i-encrypt ang WannaCry ransomware virus

Magandang hapon, Habrazhiteliki. Maraming naisulat sa Habré tungkol sa kung paano protektahan ang iyong sarili mula sa WannaCry. Ngunit sa ilang kadahilanan, wala kahit saan ipinaliwanag kung paano ibabalik ang naka-encrypt na data. Gusto kong punan ang puwang na ito. At magbigay ng kaunting liwanag sa kung paano namin ginawa ito sa aming "kilalang" kumpanya na kasangkot sa logistik. Ito ay higit pa sa isang tagubilin para sa aming mga administrator ng seguridad ng impormasyon.

Pagbawi pagkatapos ng pag-encrypt ng data

Ito ay hindi Decryption, ngunit sa halip Recovery. At ito ay gumagana lamang kung ang pagkopya ng anino ay pinagana sa mga bintana, i.e. Maaaring maibalik ang data mula sa Windows restore point mismo.

Upang gawin ito, maaari mong gamitin ang utility ng ShadowExplorer - libre ito at pinapayagan kang ibalik ang mga file mula sa mga punto ng pagbawi. Nililikha ang mga restore point sa tuwing ina-update ang system at ang mga luma ay na-overwrite ng mga bago. Ang bilang ng mga puntos ay depende sa puwang na inilaan para sa mga punto ng pagbawi. Sa karaniwan, 5-6 sa kanila ang nakaimbak sa karaniwang Windows.

Pumili ng recovery point at maaari kang mag-export ng mga file at direktoryo sa lokasyong kailangan mo:

Piliin ang mga file na hindi pa naka-encrypt at i-export ang mga ito sa lokasyong kailangan mo.

(Sa ilang mga kaso, kapag lumipas na ang pag-update, maaaring ma-overwrite ang mga recovery point na iyon kapag hindi pa naka-encrypt ang mga file. Posible rin na ang ilan sa mga data ay naka-encrypt na sa mga recovery point, ngunit ang ilan ay hindi pa. Ikaw Kailangang ibalik lamang ang maaaring maibalik.)

Iyon, sa prinsipyo, ay ang lahat na kinakailangan para sa pagpapanumbalik kung posible.

Mahalaga! Pagkatapos i-restore ang mga file, kailangan mong burahin ang mga recovery point na iyon kung saan naka-encrypt na ang data. Napansin na ito ay kung saan ang virus ay nagpapanumbalik sa sarili pagkatapos ng paglilinis.

I-recover ang data, pati na rin i-neutralize at alisin ang virus:

1. Idiskonekta ang iyong computer mula sa network
2. Susunod, kailangan mong gamitin ang utility na wann_kill_v_(numero ng bersyon) - pinapatay ng utility na ito ang proseso ng virus. Ang mga pirma ng virus mismo ay nananatiling nakaimbak sa system. Ginagawa namin ito dahil kapag nagdala ka ng flash drive sa computer na kailangang ma-disinfect, ini-encrypt ng virus ang flash drive. Mahalagang patakbuhin ang utility na ito bago mapunta ang virus sa flash drive.

3. Linisin ang iyong Computer gamit ang DrWeb CureIt (dito ang virus mismo ay tinanggal mula sa computer)
4. I-recover ang data na kailangan mo gaya ng inilarawan sa itaas “ Pagkatapos ng data encryption»
5. (Pagkatapos lang ng data recovery) Wasakin ang mga punto ng pagbawi, dahil dito ang virus ay nagpapanumbalik ng sarili pagkatapos ng paglilinis.

Proteksyon ng system:

Tune:

Tanggalin.

6. Pagkatapos ay ilunsad ang KB4012212 patch, at sa gayon ay isinasara ang MS17-010 network vulnerability
7. I-on ang network at i-install (o i-update) ang anti-virus software.

Ganyan talaga kung paano ko nilabanan ang Wanna Cry virus.

Mga Tag: WannaCry, Decryption

Basahin:

Pag-format sa pamamagitan ng BIOS Pag-aayos ng mga bagay - paglilinis ng hard drive sa Windows 10 Ang Wanna Cry ay "sumigaw" sa buong mundo - kung paano lutasin ang problema sa virus Pansamantalang mail sa loob ng 10 minuto nang walang pagpaparehistro Ano ang gagawin at paano i-unlock?