Wanna Cry. Восстановление данных.

Оказывается, так нашумевший вирус-шифровальник WannaCry, не так уж страшен.

Были предыдущие версии шифровальщиков и поубийственней.
Судя по всему такой шум он наделал из-за того что прошелся не только локальному компьютеру, но и по расшаренным ресурсам локальной сети, иногда без помощи пользователей.
Удивляют рекомендации по закрытию порта 445. Но, господа, а работать-то потом как? Общие принтеры, папки — без них. не бывает локальной сети.
Другая интересная особенность этого шифровальщика, в том что он не трогал теневые копии.По крайней мере несколько раз спасало восстановление предыдущих версий файлов и папок. Т.е. нажимаем на объект правой мышью и выбираем пункт меню «предыдущая версия». На одном из зараженных компьютеров я сделал ярлычок  «Диск С» и люди продолжали работать со своими документами. Конечно, если опция «теневые копии» отключена, ничем не помочь восстановить все полностью..
Но шансы есть . Многие программы-вымогатели не шифруют целиком все тело файла. Видимо для сокращения времени. Они могут пройтись по заголовкам. Файл уже не откроется, программа, его открывающая выдаст ошибку — «файл поврежден». Но ничто не мешает сделать так называемое «черновое восстановление». Специализированные программы могут последовательно анализировать все содержимое диска выискивая знакомые сигнатуры и лепя из них что-то более-менее читабельное. Конечно документы, видео, бухгалтерские базы
пострадают сильно , если не полностью. Зато у фотографий есть шанс быть восстановленными. Иногда на очень страшно, если фотка с полосой с краю. Можно обрезать и распечатать.  MP3-файлы, вообще неприхотливы. Достаточно вырванного куска файла и его можно слушать. Таким образом пробуйте программы восстановления фотографий. Конечно привычно разложенных и
каталогизированных папок типа «Турция-2017» или «Наша свадьба» , где все разложено по полочкам, вам не восстановить. Но тысячи различных файлов картинок, что были в компьютере,  можно сделать смотрибельными. Правда и названия у них будут по порядку от 1.jpg до 123456.jpg или что-то типа этого , вместо привычных «мама.jpg» или «Dochka.jpg».
И еще особенность. Если шифровальщик не удален, он может сидеть в памяти и продолжать свое черное дело. Может случиться ситуация, когда вы открыли предыдущую версию документа, радостно вставили флешку чтоб на нее сохранить, а потом с удивлением обнаруживаете, что фотки и документы, которые только что были на флешке читаемые, теперь зашифрованы.
Заранее приношу извинения, за неточности в выводах. Статья писалась в спешке. Пока ситуация недостаточно изучена, но время не терпит. Постепенно накапливаются знания по этой проблеме. К тому времени,
когда решите принести свою компьютер к нам на восстановление информации знаний по проблеме будет больше и результат лучше.
И советы напоследок — заразились, зашифровались — несите к нам. Не факт, что все восстановим, но советом поможем. Будьте бдительны. Если открыли непонятную ссылку из письма от «арбитража» или «судебных приставов» — срочно выдергивайте вилку компьютера из розетки. Очень много раз это спасало. Шифрование процесс длительный. Был случай, когда неопытная девушка с перепугу спасла целое предприятие, случайно перезагрузив сервер..

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *