Відновлення вмісту зашифрованих файлів з тіньової копії томи.

Відео: Вірус шифрувальник - лікування, відновлення

Як правило, розшифрувати зашифровані вірусом файли дуже складно, і іноді, навіть неможливо. У таких випадках, є сенс спробувати відновити хоча б те, що могло бути збережено в знімку файлової системи, і можливо, втрата інформації буде мінімальной.В загальному випадку, завдання полягає в тому, щоб підключити тіньову копію до системи, у вигляді логічного диска або каталогу, з яким можна було биработать стандартними засобами, наприклад, провідником або улюбленим файловим менеджером, на кшталт Far Manager. Подібна задача легко вирішується стандартними засобами системи. Для роботи з тіньовими копіями томів використовується системна утиліта vssadmin.exe наявна в складі всіх операційних систем сімейства Windows, починаючи з Windows XP. Коротку довідку щодо її використання можна отримати по команді vssadmin /?, а більш докладний опис - за посиланням на список команд CMD, розміщеної в кінці сторінки. Цю утиліту можна використовувати для отримання імен томів з тіньовими копіями. Крім того, в складі засобів командного рядка CMD Windows є команда для створення символічного посилання mklink, що дозволяє підключити тому тіньової копії в якості звичайного каталогу файлової системи. Підказку і більш повний опис mklink можна отримати таким же чином, як і для vssadmin.exe. Оскільки, файли тіньових копій інтерпретуються системою як звичайні томи, то для отримання доступу до їх вмісту стандартними засобами, досить створити символічні посилання на їх кореневі розділи. Для цього буде потрібно дізнатися ім`я томи тіньової копії.

Для роботи з даними командами будуть потрібні права адміністратора (запуск від імені адміністратора).

Отримати список тіньових копій можна за допомогою команди:

vssadmin List Shadows

Для зручності роботи з результатами виведення утиліти, можна скористатися їх перенаправленням в файл:

vssadmin List Shadows gt; C: shadows vsslist.txt

Результати виконання команди будуть записані в текстовий файл vsslist.txt в каталозі shadows диска C:. Каталог shadows повинен бути створений, наприклад, командою md c: shadows.

Приклад відображається:

vssadmin 1.1 - Програма командного рядка для адміністрування служби тіньового копіювання томів (C) Корпорація Майкрософт (Microsoft Corportion), 2001-2013.Содержімое для ID набору тіньових копій: {85d65d2b-c18a-43f1-8a61-d208b395e21b} Містить 1 тіньових копій на час створення: 23.10.2015 15: 42: 45ID тіньової копії: {8dfdb88c-bc94-47af-911b-e334a51da328} Вихідний тому: (C:) ? Volume {6ef5aa79-4005-11e5-830b-806e6f6e6963} Том тіньової копії: ? GLOBALROOT Device HarddiskVolumeShadowCopy1Размещающій комп`ютер: win10Обслужівающій комп`ютер: win10Поставщік: "Microsoft Software Shadow Copy provider 1.0" Тип: ClientAccessibleWritersАтрібути: Збереження, Доступно клієнтам, Без автоматичного осв обожденія, Разностная, Відновлений автоматіческіСодержімое для ID набору тіньових копій: {3262820f-aa3f-490b-bf44-f17378699272} Містить 1 тіньових копій на час створення: 27.10.2015 10: 01: 52ID тіньової копії: {fd90cbbe-f365-44c3-be5a -d331ebcc5185} Вихідний тому: (C:) ? Volume {6ef5aa79-4005-11e5-830b-806e6f6e6963} Том тіньової копії: ? GLOBALROOT Device HarddiskVolumeShadowCopy2Размещающій комп`ютер: win10Обслужівающій комп`ютер: win10Поставщік: "Microsoft Software Shadow Copy provider 1.0 "Тип: ClientAccessibleWritersАтрібути: Збереження, Доступно клієнтам, Без автоматичного звільнення, Разностная, Відновлений автоматично
В даному прикладі, є інформація про наявність 2-х тіньових копій, створених службою тіньового копіювання в середовищі Windows 10, і їх імена томів:

Том тіньової копії: ? GLOBALROOT Device HarddiskVolumeShadowCopy1

Том тіньової копії: ? GLOBALROOT Device HarddiskVolumeShadowCopy2
Знаючи імена томів, можна підключити їх в каталог, наприклад C: shadows командою mklink:

mklink / D C: shadows shadow1 ? GLOBALROOT Device HarddiskVolumeShadowCopy1

mklink / D C: shadows shadow2 ? GLOBALROOT Device HarddiskVolumeShadowCopy2

Щоб не набирати вручну імена томів, можна скористатися копіюванням їх з текстового файлу, отриманого перенаправленням виводу команди vssadmin (C: shadows vsslist.txt)

Зверніть увагу на наявність символу після імені томи, оскільки посилання повинна створюватися на каталог, а не файл (параметр командного рядка / D)

Після виконання цих команд, в каталозі C: shadows з`являться підкаталоги shadow1 і shadow2 містять дані тіньових копій. Можна з командного рядка перейти в провідник Windows:

explorer C: shadows

Каталоги з тіньовими копіями в Провіднику Windows

Каталоги з тіньовими копіями в Провіднику Windows

Зображення стрілки на ярликах вказує на те, що це не реальні каталоги файлової системи, а символічні посилання. Далі, з даними тіньових копій можна працювати, як зі звичайним (але захищеним від запису) каталогом файлової системи.

Процес підключення тіньових копій можна трохи спростити за допомогою командного файлу, такого змісту:

@echo offchcp 1251C: If not exist C: shadows md c: shadowsvssadmin List Shadows gt; C: shadows vsslist.txtFIND / N C: shadows vsslist.txt "? GLOBALROOT Device HarddiskVolumeShadowCopy" gt; C: shadows listshadows.txtIf exist C: shadows shadow1 rd C: shadows shadow1mklink / D C: shadows shadow1 ? GLOBALROOT Device HarddiskVolumeShadowCopy1 start explorer C: shadows

Даний командний файл повинен запускатися від імені адміністратора. При його виконанні створюється каталог C: shadows, зберігається висновок команди vssadmin у файлі C: shadows vsslist.txt, команда FIND виділяє з отриманого файлу тільки ті рядки, які містять ім`я тіньової копії, і записує результат в файл listshadows.txt який можна відкрити в блокноті, або за допомогою редактора WorPad, потім командою mklink створюється символічна посилання C: shadows shadow1 на те першій тіньової копії і запускається провідник, що відкриває папку C: shadows .

При необхідності, можна підключити потрібну тіньову копію, командою:

mklink / D C: shadows shadowN ? GLOBALROOT Device HarddiskVolumeShadowCopyN

де N приймає значення номера копії. Копія з найбільшим номером - найбільш свіжа. Дату створення кожної копії можна подивитися у висновку команди vssadmin

команда mklink не може створити нову посилання, якщо вказане в параметрах ім`я вже існує. Для видалення символьного посилання можна використовувати команду RD:

rd C: shadows shadow1 - видалити символьне посилання shadow1

Використання тіньових копій томів для відновлення файлів за допомогою Recuva.

Завантажити програму для відновлення файлів Recuva з офіційного сайту компанії Piriform

важливою особливістю Recuva є можливість відновлення файлів з тіньових копій томів, автоматично створюються службою тіньового копіювання Windows. Тіньові копії утиліта інтерпретує як звичайні логічні диски, примонтировать до поточної системі. Для відображення тіньових копій, потрібно включити даний режим - Налаштування ... - диски - встановити прапорець Показувати тіньові копії. При відновленні файлів можна вибрати зі списку дискових пристроїв або конкретну тіньову копію, або все, що існують в системі на даний момент часу. У налаштуваннях програми дії повинен бути встановлений прапорець Пошук невидалених даних (відновлення з пошкодженого носія).

Вибір режиму роботи з тіньовими копіями в Recuva

Вибір режиму роботи з тіньовими копіями в Recuva

Після завершення аналізу, потрібно знайти файл для відновлення, який має стан Чи не видалено. Таким чином, ми будемо відновлювати НЕ віддалений файл, а файл,збережений в знімку файлової системи. Тіньових копій, в залежності від версії Windows, розміру дискових томів, і системних налаштувань тіньового копіювання, може бути до 64 шт.і кожна з них може бути джерелом відновлення для утиліти Recuva, здавалося б, безповоротно втраченої інформації. Але місце на диску, що відводиться тіньовим копій томів обмежена, тому, при необхідності, система видалить деякі з найстаріших з них без будь-яких дій з боку користувача. З цієї причини, постраждавши від дій вірусу-шифрувальника, не варто надовго откладиватьвосстановленіе інформації з існуючих на даний момент знімків. По крайней мере, можна спочатку скопіювати файли з тіньових копій на змінний носій, а потім вже приступати кпрочім способам відновлення зашифрованих файлів. В іншому випадку можна не тільки не домогтися їх розшифровки, а й втратити можливість відновлення попереднього вмісту.

Віруси-шифрувальники теж постійно вдосконалюються, і зокрема, останнім часом намагаються видалити дані тіньових копій, використовуючи команду vssadmin. При включеній системі контролю облікових записів користувачів (UAC) це супроводжується запитом на дозвіл виконання для vssadmin.exe, чого природно, робити не потрібно. У разі ж відключення UAC втрата тіньових копій гарантована.

Використання стороннього ПО для доступу в тіньовим копій томів.

Існує програмне забезпечення, що полегшує доступ користувачів домашніх комп`ютерів до даних тіньових копій, як наприклад, ShadowExplorer.

ShadowExplorer - доступ до тіньової копії томи.

ShadowExplorer - доступ до тіньової копії томи.

Програма дозволяє вибрати диск і будь-яку з відповідних йому тіньових копій. Дані відображаються так само, як в стандартному провіднику. Користувач має можливість вибрати потрібний файл або каталог і за допомогою контекстного меню, що викликається правою кнопкою мишки, експортувати його в потрібне місце, наприклад, на флешці.

Завантажити ShadowExplorer можна на сторінці завантаження офіційного сайту ShadowExplorer.com

Програма поширюється в двох варіантах - Installer, що встановлюється в системі стандартним чином, і Portable, переносимому.

Однак, найбільш зручним засобом роботи з даними тіньових копій є, на мою особисту думку, проста і компактна утиліта від Nirsoft ShadowCopyView. Програма безкоштовна, не вимагає установки в системі, і при необхідності, може бути русифікована з використанням файлу мовної підтримки ShadowCopyView_lng.ini, zip-архів якого можна скачати на сторінці завантаження програми. Готову русифіковану версію для 32-розрядних або 64-розрядних Windows можна завантажити за посиланням:

Русифікована 32-розрядної версії ShadowCopyView 1.05 (приблизно 54кб)

Русифікована 64-розрядної версії ShadowCopyView 1.05 (приблизно 67кб)

Архіви містять виконуваний файл ShadowCopyView.exe і файл мовної підтримки ShadowCopyView_lng.ini. Якщо видалити (перейменувати) ini-файл, то інтерфейс програми буде англомовним.

Для відновлення даних з використанням тіньових копій можна скористатися контекстним меню, що викликається правою кнопкою мишки, або через основне меню "Файл - Зберегти вибрані файли в ...". В якості додаткових можливостей є засіб пошуку файлів і папок (CTRL + F), а також можливість отримання відомостей про їх властивості:

Імовірність відновлення зашифрованих вірусом даних.

Автори шкідливих програм постійно працюють над тим, щоб утруднити самостійне відновлення даних, зашифрованих вірусом. При зараженні системи вживаються заходи для того, щоб видалити тіньові копії або зробити їх непридатними для відновлення даних. Це завдання дуже легко вирішується, якщо вірус працює в середовищі користувача з правами адміністратора при відключеною технологією контролю облікових записів користувачів UAC. Як приклад приведу алгоритм дій реального вірусу-шифрувальника, що виконується в системі зі стандартними настройками безпеки в контексті облікового запису користувача, який володіє правами адміністратора.

У більшості випадків, зараження системи відбувається при відкритті вкладеного в електронний лист файлу. Перша помилка, допущена користувачем - сам факт відкриття такого файла.Даже якщо текст листа досить правдоподібний, існує можливість перегляду заголовка листа, за яким легко встановити достовірність відправника. Детальна методика:

Як визначити підроблений лист електронної пошти.

Тема зараження комп`ютера через поштові вкладення стара, як комп`ютерний світ, але тим не менш, залишається актуальною, і більшість заражень відбуваються саме таким образом.В даному конкретному випадку, вкладений файл був архів, що містить сценарій на мові jаvascript, що забезпечує завантаження з сервера зловмисників основноготела вірусу і виконання його в контексті облікового запису поточного користувача. Виконуваний файл вірусу має випадкове ім`я і копіюється в папку документів пользователя.Прімер властивостей вірусного процесу, отриманий за допомогою Far Manager:

Module: famojv.exeFull path: C: Users user Documents famojv.exeFile version: 0.17.19.20Description: Homecomings Latched EmbarrassmentsPID: 2296

В першу чергу, вірусний процес спробував видалити всі тіньові копії системи, виконуючи команду:

"C: Windows System32 vssadmin.exe" Delete Shadows / All / Quiet

У тих випадках, коли шкідлива програма виконується в контексті облікового запису з адміністративними правами іотключен механізм контролю UAC, тіньові копії будуть успішно видалені, і користувач цього навіть не заметіт.Прі включеному контролі облікових записів UAC, відобразиться сповіщення системи безпеки:

Запит на дозвіл виконання vssadmin.exe

Інтерфейс командного рядка для Microsoft Volume Shadow Copy Service запитує дозвіл на виконання з адміністративними привілеями. Якщо на даний запит відповісти "Так", то результат буде таким же, як і в попередньому випадку - тіньові копії будуть видалені. Якщо ж відповісти "Ні", то програмний модуль вірусу повторить спробу видалення тіньових копій і на екрані знову відобразиться повідомлення системи безпеки. Так буде тривати до тих пір, поки не буде натиснута кнопка "Так" або вірусний процес не буде примусово завершений. Як правило, більшість користувачів, не замислюючись над сенсом своїх дій, після кількох повторів запитів, вибирають перший варіант, тим самим позбавляючи себе останньої можливості відновлення даних.

Використання тіньових копій томів є єдиним відносно простим способом повного або часткового відновлення інформації, зашифрованої шкідливими програмами. Звичайно, крім відновлення з використанням раніше створених резервних копій, які практично ніколи не є в наявності. У переважній більшості випадків, розшифровка неможлива. З мізерною ймовірністю може допомогти спеціалізоване програмне забезпечення антивірусних компаній, спеціально розроблене для розшифровки файлів, як наприклад утиліти RakhniDecryptor, RannohDecryptor, ScraperDecryptor і т.п. від лабораторії Касперского.Как правило, такі утиліти дозволяють розшифрувати тільки ті файли, які були оброблені застарілим вірусом. Для прискорення процесу, можна відправити приклад зашифрованого файлу і необхідний код через спеціальні форми на сайтах антивірусних компаній. Якщо у вас є копія цього ж файлу в незашифрованому вигляді, відправте її також. Теоретично, це може прискорити появу утиліти-дешифратора.

Як засіб захисту від вірусів-шифрувальників можна використовувати спеціальні програми для створення резервних знімків файлової системи і відновлення на основі зробленого раніше знімка, як наприклад, безкоштовні Comodo Time Machine і Rollback Restore Rx Home і платна RollBack Restore Rx Pro. Ці програмні продукти працюють за принципом "машини часу", дозволяючи швидко повернути стан файлової системи на момент створення її знімка (snapshot). У платних версіях подібних програм (і в безкоштовному Comodo Time Machine) існує можливість автоматичного створення знімків за розкладом за допомогою вбудованого планувальника, наприклад, при першому завантаженні щодня або із заданою періодичністю. Особливістю перелічених програм є власна внутрішня система безпеки, окремий завантажувач ОС і програмний движок для створення, зберігання і відновлення даних, що створює серйозні труднощі для нанесення шкоди при вірусному зараженні, в тому числі і шифрувальник.

Comodo Time Machine - опис, приклади використання і посилання для скачування.

RollBack Rx Home Edition - короткий опис, обмеження безкоштовної версії програми, приклади використання.

Recuva від компанії Piriform - короткий опис і інструкція по використанню Recuva для відновлення даних користувача.

Список команд командного рядка Windows з прикладами.

Якщо ви бажаєте поділитися посиланням на цю сторінку в своїй соціальній мережі, користуйтеся кнопкою "Поділитися"

Поділися в соціальних мережах:

Схожі