Няма много начини за възстановяване на файлове, криптирани в резултат на атака на ransomware, без да плащате откуп. Ако имаме късмет, може да има някои безплатни инструменти за възстановяването им, но по-реалистичен вариант е да възстановите вашите файлове от резервни копия. Въпреки това, не всеки има резервни копия на своите файлове, въпреки че Windows предлага много полезна функция, известно като Shadow Copy , което накратко представлява резервно копие на вашите файлове. Киберпрестъпниците знаят за това от дълго време и затова, няколко месеца след като атаките с ransomware станаха популярни, първото нещо, което правят, когато заразят компютъра ви, е да изтрият скрито копие на вашите файлове, преди да започнат да криптират информацията ви.
Съществуват редица технологии, които могат да бъдат приложени за спиране на атаки на рансъмуер: някои от тях са почти безполезни, като сигнатури или евристики (това са първите неща, които авторите на зловреден софтуер проверяват, преди да бъдат „освободени“), други понякога могат да бъдат по-ефективни , но дори комбинацията от всички тези техники не гарантира, че ще бъдете защитени от всички подобни атаки.
Преди повече от 2 години в антивирусна лаборатория PandaLabs възприе прост, но ефективен подход: ако даден процес се опита да изтрие скрити копия, тогава най-вероятно (но не винаги, между другото), имаме работа с зловреден софтуер, и най-вероятно с криптограф. В наши дни повечето фамилии на ransomware премахват скритите копия, защото ако това не бъде направено, хората няма да платят откупа, тъй като могат да възстановят файловете си безплатно. Помислете колко инфекции са спрени в нашата лаборатория с този подход. Логично е да се предположи, че това число трябва да расте експоненциално, т.к. броят на ransomware атаките, използващи тази техника, също нараства бързо. Ето например броя на атаките, които сме блокирали през последните 12 месеца с нашия подход:
Но на диаграмата виждаме точно обратното на това, което очаквахме. Как е възможно? Всъщност има много просто обяснение за този „феномен“: ние използваме този подход като „последна инстанция“, когато никакви други техники за сигурност не са успели да открият нещо подозрително, и следователно той работи това правило, който блокира атаката на ransomware. Ние също използваме този подход за вътрешни цели, в резултат на което можем да анализираме по-подробно онези атаки, които са били блокирани на „последната граница“, и след това да подобрим всички предишни нива на сигурност. Ние също използваме този подход, за да оценим колко добре или зле спираме ransomware: с други думи, колкото по-ниски са стойностите, толкова по-добре работят нашите основни технологии. Така че, както виждате, ефективността на нашата работа се увеличава.
Оригинална статия.
Shadow копие е нова функция, който се появи в Windows XP и Windows сървър 2003 г. и позволяващ архивиране отворени файлове.
Кога трябва да архивирате отворените файлове? Нека, например, на едно от работните места на вашето предприятие, старото счетоводна програма. Той няма собствен механизъм за архивиране и може да съхранява данни само на локален компютър. Администраторът, тоест вие, ще трябва да помислите за архивиране на нейната база данни.
При архивиране на тези файлове по мрежата компютърът на счетоводителя трябва да е включен, но програмата да не работи, за да не остават отворени файловете. Но тази програма е написана като автоматизирана работно място, започва при включване на компютъра и свършва при изключване, като можете само да ругаете автора му.
Изходът от тази ситуация ще бъде инсталирането на Windows XP Professional на работното място на счетоводителя (вярваме, че познатата програма ще работи и под тази операционна система). След това ще можете да архивирате всички работни файлове на тази програма, независимо дали е завършена или не.
Сенчесто копие и споделени папки
Може да се използва за връщане към предишна версия на файл в споделена папка на сървъра. Много по-важен е следният факт. В предишния Windows версии(включително Windows 2000) изтриване на файл от споделена папкапо мрежата доведе до неговия безвъзвратна загуба- дори не остана в Кошницата. А в Windows Server 2003, като изтриете файл, можете да възстановите предишната му версия, която може да е идентична с текущата.
По подразбиране скритото копиране на споделени папки е деактивирано. Той е активиран на сървъра за дяла, на който физически се намират споделените папки. Трябва да е NTFS дял.
1.Регистрирайте се на СЪРВЪРА като администратор. Отворете прозореца със свойства на устройството C:.
2.Отидете до раздела Shadow Copy. Ще видите, че тази функция е деактивирана.
3.Щракнете върху бутона Опции и редактирайте свойствата на текущия раздел. Можете да посочите колко често ще се копира дялът (по подразбиране два пъти на ден) и колко дисково пространство се разпределя за копия. Препоръчително е да оставите стойностите по подразбиране. Затворете диалоговия прозорец, като щракнете върху бутона OK.
4. Щракнете върху бутона Разреши и в следващия диалогов прозорец потвърдете решението си, като щракнете върху бутона Да.
Веднага след това ще започне създаването на първото копие на дяла. Информация за това действие под формата на дата и час ще се покаже в долната част на прозореца.
Забележка.
Не е необходимо да копирате дяла на същия физически диск. Ако имате инсталирани няколко физически диска, значително ще подобрите производителността на дисковата подсистема, като насочите копието към друг диск. Единственото условие е този диск да е форматиран в файлова система NTFS.
Организация на сенчестото копиране на работна станция
Клиентски компютри под Windows контрол XP Professional не може да използва незабавно функцията за скрито копиране. Първо трябва да инсталирате клиента софтуер. Инсталационният файл TWCLI32 .MSI се намира на сървъра (работещ под Windows Server 2003) в папката %SYSTEMROOT%\system32\clients\twclient\x86.
1. Влезте в КОМПЮТЪРА като администратор.
2. Стартирайте Explorer и в адресната лента въведете пътя \\ SERVER name \
c$\windows\system32\clients\twclient\x86\twcli32.msi.
Клиентът за предишни версии ще бъде инсталиран.
Клиенти за операционни системи Windows 2000 Server с инсталиран пакет SP3 и по-нови, Windows 2000 Professional и Windows98 могат да бъдат изтеглени от уебсайта на Microsoft на http://www. Майкрософт. com/windowsserver203/downloads/shadowcopyclient.mspx.
Няма такъв клиент за операционни системи Windows NT 4.0. За системи, по-стари от Windows XP, клиентската програма трябва да бъде инсталирана както на клиентския компютър, така и на сървъра Windows системаСървър 2003.
Прилагане на Shadow Copy
За да се възползвате от копирането в сянка:
1. Регистрирайте се на КОМПЮТЪРА като обикновен потребител.
2. Отворете папката на вашия отдел в споделеното хранилище за документи.
3. Покажете свойствата на всеки файл (за предпочитане текстов). Щракнете върху раздела Предишна версия. След инсталирането на клиента за скрито копиране не е създадена предишна версия, така че списъкът е празен.
4. Отворете файла, редактирайте го и го запазете под същото име.
5. Повторете п.З. Сега в раздела Предишна версия ще видите предишната версия на файла с датата, на която е създаден.
6. Можете да го видите, като щракнете върху бутона Показване. Копието на документа е само за четене и не може да бъде преименувано или запазено. За да възстановите предишна версия под друго име, първо трябва да я копирате на друго място, като щракнете върху бутона Копиране.
Ако сте изтрили файл от споделена папка по погрешка и искате да го възстановите, направете следното:
1. От клиентския компютър покажете свойствата на папката, където се намира документът, и щракнете върху раздела Предишна версия.
2. Щракнете върху бутона Показване и вижте съдържанието на предишната версия на документа. Ако ви харесва, създайте нов документи копирайте съдържанието в него чрез клипборда.
Ако погрешка сте редактирали и запазили документ, можете да възстановите правилната версия, като щракнете върху бутона Възстановяване в раздела Предишна версия.
По този начин функцията за скрито копиране помага на потребителите бързо да възстановят своите документи, намиращи се в споделени папки, в следните случаи:
* при неволно изтриване на файлове;
* при неволна промяна на съдържанието на файлове (чрез командата Запиши вместо Запиши като);
* ако файловете са повредени.
Моля, обърнете внимание, че се копира целият раздел, а не само папките, към които е отворен в момента на копиране достъп до мрежата. Това означава, че ако след като направите копие, споделите нова папка, предишни версиинеговите файлове ще бъдат достъпни за потребителите от момента на отваряне на достъпа.
Услугата Volume Shadow Copy (VSS) запазва точки за възстановяване и поддържа архивиране и възстановяване на файлове въз основа на механизъм за правене на моментни снимки на файлове и данни (моментна снимка), наречени скрити копия. VSS създава статични копия на отворени файлове и приложения, които иначе са твърде непостоянни за архивиране.
Звучи убедително, но VSS заема много дисково пространство. Първо използвайте командата "vssadmin", за да видите колко място заемат текущите сенчести копия на тома с командата "vssadmin list shadowstorage". (за още подробна информациящракнете върху бутона "Старт", въведете cmd в лентата за търсене, след което въведете vssadmin /? за помощ).
На екранната снимка по-долу точките за възстановяване за устройства C: и D са активирани; има и сенчести копия на същите дискове. Нека да видим колко дисково пространство се губи от скритите копия на тези устройства: 22,079 GB на устройство D: (общо: 149 GB; пространство, заето от скритите копия = 15,5%) и 64,448 GB на устройство C: (общо: 465 GB; обем, зает от сенчести копия = 14,9%).
В един момент открихме само 230 GB свободно място на 465 GB устройство C:, въпреки че знаехме със сигурност, че съдържа само 120 GB файлове. Търсенето на липсващите 115 GB ни доведе до услугата Volume Shadow Copy. Използвахме отново командата "vssadmin list shadows" (не показахме резултата тук, защото е много дълъг: изброява всички скрити копия на диска) и открихме, че едно от скритите копия е 85 GB! Тъй като наскоро копирахме голяма колекция от музикални файлове от старо 200GB USB устройство на новото ни по-бързо SATA устройство, VSS очевидно създаде скрито копие на тези файлове в същото време, когато ги копира в папка, достъпна за потребителя.
Как да се отървете от това ненужно копие в сянка? По подразбиране обаче Vista разпределя 15% дисково пространство за скритите копия операционна системане ограничава стриктно общия размер на скритите копия. Ако скритото копие се нуждае от повече място, Vista с радост ще го предостави. Използване на помощната програма командна линия vssadmin може да зададе ограничение за чисто дисково пространство за сенчести копия. Ето как да го направите:
Vssadmin преоразмеряване на shadowstorage /For=T: /On=T: /MaxSize=Num
Вместо буквата "T", заменете името на вашия диск и заменете "Num" с число, равно на 15% от капацитета на този диск. В случай на нашето устройство C: тази команда ще изглежда така:
Vssadmin преоразмеряване на shadowstorage /For=C: /On=C: /Maxsize=69GB
Преди да използвате този трик, архивирайте системата си и създайте точка за възстановяване веднага след рестартиране на системата. След като изпълни горната команда, Vista автоматично ще изтрие първо най-старите точки за възстановяване, докато достигне ограничението, което сте задали.
Предишната статия обсъди възможностите Резервно копие Windows 7 - създаване на файлови архиви и дискови изображения. Тази статия е за възстановяване на файлове от архив и система от образ на диск, както и за възстановяване на предишни версии на файлове.
На тази страница:
Възстановяване на файлове от архив
В Windows 7 можете да възстановите файлове от резервно копие, като използвате елемента на контролния панел.
В главния прозорец на елемента на контролния панел има три опции за възстановяване на файлове:
- Възстановяване на файловете ми- позволява ви да изберете отделни файлове и папки за възстановяване.
- Възстановяване на файлове на всички потребители- също ви позволява да избирате отделни файлове и папки, но за всички потребители на компютъра.
- Изберете друг архив за възстановяване на файлове- ви позволява да възстановите файлове на всички потребители, както и да изберете архив, разположен на мрежово устройство.
Следващото е относно възстановяването на "моите" файлове. Първият прозорец на съветника за възстановяване на файлове е пълен с опции, така че нека да вървим по ред.
Изберете дата на архивиране. По подразбиране се използва най-новият архив, както системата отчита в прозореца. Можете да изберете по-ранна дата - например, ако имате нужда от по-старо копие на файла.
Интерфейсът изглежда е предназначен за много често архивиране - по подразбиране се показват архивите за последната седмица (според мен е по-логично да се показват веднага архивите за месеца), но можете да изберете по-стари, разбира се .
Търсене на файлове. Това е много удобен инструмент, който ви позволява незабавно да намерите необходимите файлове в архива.
Моля, имайте предвид, че прозорецът използва интерфейса на Explorer, т.е. в резултатите от търсенето можете да изберете желаните колони от свойства на файла и да сортирате по тях (но няма групиране).
Добавяне на файлове и папки. Заедно с търсенето има възможност за добавяне на отделни файлове и папки - всяко действие има свой бутон.
Списък с възстановими файлове. Имената на добавените папки се показват и отделни файлове.
Премахнете файлове и папки от списъка. Файловете и папките се премахват само от списъка с възстановими файлове, но не и от архива.
Отидете до избор на дестинация за възстановими файлове. Можете да възстановите файлове:
- до първоначалното местоположение. В този случай, ако съществува файл със същото име, системата ще покаже стандартен диалогов прозорец, който ви подканва да презапишете файла, да запазите и двете копия в папка или да откажете да копирате.
- до посоченото от вас място. В този случай е възможно да се възстановят файлове, като се запази структурата на папките, като се започне от корена на архива (маркиран на фигурата).
След като сте решили окончателното местоположение на файловете за възстановяване, щракнете върху бутона Възстанови.
Възстановяване на предишни версии на файлове и папки
Представете си, че докато работите върху документ, сте изтрили част от него, запазили сте файла и сте затворили приложението. И тогава изведнъж си спомних, че са изтрили нещо много важно. Или си представете, че сте изтрили файл след кошчето и месец по-късно наистина имате нужда от него. И в двата случая имате добри шансове да възстановите предишни версии на файлове, които могат да бъдат запазени в Windows 7 по два начина:
- файлови архиви, създадени с помощта на Windows Backup
- скрити копия, създадени от System Protection с помощта на Volume Shadow Copy Service
Достъпът до възстановяване на предишни версии се осъществява от свойствата на файл или папка в раздела Предишни версии.
Възстановяване на предишни версии на файлове от архиви
Ако даден файл е включен в архива с помощта на Windows Backup, в неговите свойства на Предишни версии Архивиране.
Ако при възстановяване на файл системата открие, че вече съществува файл със същото име, ще бъдете подканени да презапишете съществуващия файл, да го запишете с друго име или да откажете възстановяване.
Разбира се, същият файл може да бъде възстановен от контролния панел, но може да бъде по-удобно и по-бързо да го направите от свойствата на файла.
Възстановяване на предишни версии на файлове и папки от скрити копия
За да можете да възстановявате файлове и папки от сенчести копия, трябва да е активирана системна защита, която е активирана за всеки диск поотделно. Може да не е твърде очевидно, но настройките за защита на системата контролират работата и количеството дисково пространство за Volume Shadow Copy Service, която съхранява точки за възстановяване на системата и скрити копия на файлове и папки.
Сенчестите копия не се съхраняват за неопределено време. За тях се разпределя определен процент дисково пространство и при достигане на определения лимит старите копия се заменят с нови. Тъй като се говори за защита и възстановяване на системата, тук ще разгледам само възстановяването на предишни версии.
От скрити копия можете да възстановите предишни версии:
- отделни файлове
- папки с файлове
Възстановяването на един файл от скрито копие е почти същото като възстановяването на файл от архив. В свойствата на файла в раздела Предишни версиище видите списък с версии и местоположението ще бъде точка за възстановяване.
За разлика от файл, записан в архив, в този случай ще имате опции да отворите и копирате файла в папка по ваш избор.
В допълнение към отделните файлове можете да възстановите папки от скрити копия. Списъкът с версии може да се види в свойствата папкираздел Предишни версии.
Можете да отворите папката, да я копирате на друго място или да я възстановите на старото място. При възстановяване, както при файлове от архиви, системата ще ви предупреди, ако в папката има файл със същото име.
Възстановяване на изтрити файлове от скрити копия
Ако трябва да възстановите предишно копие на съществуващ файл, просто отидете в раздела със свойства на файла Предишни версии. Но какво ще стане, ако файлът бъде изтрит? Имате два начина:
- възстановяване на папка
- търсене на файлове
От скритото копие можете да възстановите папката, в която се намира файлът, както е описано по-горе. Ако не си спомняте точното местоположение на файл, но имате груба представа къде е бил в дървото на папките, можете да възстановите родителската папка.
Въпреки това, преди да възстановите папката, можете да опитате да намерите отдалечен файлкато се използва Търсене в Windows. Нека разгледаме последователността от действия с пример. Изтрих файла support_center01.pngи сега ми трябва. Знам в коя папка беше и търся файла в нея (и ако не знаех точното местоположение, щях да потърся в най-близкия родител).
Сенчестите копия не се индексират и изтритият файл незабавно се изключва от индекса, така че търсенето не го намира. Следователно трябва да търсите в неиндексирани места, като щракнете компютър.Търсенето на неиндексирани файлове отнема повече време, но търпението ви ще бъде възнаградено.
В сенчестите копия имаше не само PNG файла, от който се нуждаех, но и отдавна изтрит BMP файл със същото име, за който забравих да се сетя.
Защо скритите копия може да липсват
След като прочетете за предишни версии на файлове, може да искате да проверите дали те се създават във вашата система. Ако не сте намерили предишни версии, това може да означава, че:
- забранена защита на системата, т.е. няма точки за възстановяване, където да се съхраняват предишни версии на системни файлове
- Малко дисково пространство се разпределя за защита на системата, така че няма достатъчно място за сенчести копия на потребителски файлове
- съдържанието на файла или папката не е променено - в този случай не се създават копия в сянка
Обобщавайки историята за възстановяване на файлове, искам да подчертая, че технологиите на Windows са взаимосвързани. Ще имате най-добрия шанс да възстановите вашите файлове, ако използвате Windows Backup заедно със защита на системата. Можете да увеличите тези шансове, като създадете резервни копия на системата, чието възстановяване ще бъде разгледано по-долу.
Възстановяване на система от предварително създаден образ
По време на Инсталиране на Windows 7 сервизен дял се създава автоматично на твърдия диск, съдържащ средата Възстановяване на Windows RE (среда за възстановяване). С помощта на този раздел можете:
- зареждане в среда за възстановяване от твърд диск
- създайте диск за възстановяване на системата и заредете от него
Чрез зареждане в средата за възстановяване можете да възстановите системата от предварително създадено изображение.
внимание!За подробно описание на това как да създадете устройство за възстановяване на системата, средата за възстановяване и опциите за зареждане в нея вижте Използване на средата за възстановяване на Windows RE в Windows 7. Следващата дискусия обхваща само зареждане на Windows RE от твърд диск.
Зареждане в средата за възстановяване от твърдия диск
За влизане в менюто Допълнителни опции за изтегляне, щракнете F8след включване на компютъра, но преди зареждане на операционната система.
Изберете първия елемент от менюто - Отстраняване на неизправности на вашия компютъри натиснете Enter. Ще се стартира Windows Recovery Environment, където първото нещо, което ще бъдете помолени да направите, е да изберете клавиатурна подредба.
Изберете езика, на който сте задали администраторската парола сметка, защото в следващата стъпка ще трябва да се въведе.
След като въведете паролата, ще видите меню с опции за възстановяване, една от които е Възстановяване на системен образ.
Възстановяване на системен образ от Windows RE среда
IN Windows среда RE има различни инструменти за възстановяване на системата.
Можете също да изберете друго изображение за възстановяване. След като изберете изображение, щракнете върху бутона По-нататъкза да започнете процеса на възстановяване.
Можете да форматирате дискове и да създавате дялове, като имате възможност да изключите дискове от операцията по форматиране (дискът, съдържащ архивираното изображение, се изключва автоматично). Освен това можете просто да възстановите изображението върху съществуващото системен дял. зад бутона Допълнителнокрие още две опции.
След като изберете опциите за възстановяване, щракнете върху бутона По-нататъки след това в последния прозорец на съветника щракнете върху бутона Готов. Windows 7 ще ви предупреди, че всички данни ще бъдат изтрити от дяла и ще започне процеса на възстановяване.
Ако нямате инсталация Windows диск 7, не забравяйте да създадете диск за възстановяване на системата. Този диск ще ви позволи да възстановите резервно копие на системата, дори ако твърдият диск е повреден Windows дял RE.
Надявам се, че създавате сенчести копия на целия диск, а не на същия диск като системата, за да ги видите?
Обикновено тези копия не могат да се видят, както и архивираните файлове, но си личи, че мястото е заето.
Управление на пространството за копиране в сянкаМястото за съхранение на скритите копия се разпределя отделно на работните томове и на резервния диск за пълно архивиране на системата. Използваното, разпределеното и максималното място за копиране в сянка може да се провери чрез изпълнение на следната команда от команден ред с повишени права:
VSSAdmin списък ShadowStorage
Използвано пространство - пространството, заето в момента от скритите копия; разпределено - място, запазено за сенчести копия (и не се използва за други задачи); максимум - горният праг, над който обемът на скритите копия не може да расте.
Разпределението на пространството за скритите копия е автоматично, което означава, че не може да бъде зададено от потребителя. Новото пространство се разпределя на фиксирани парчета, тъй като предишното разпределено пространство е заето. Поради тази причина отчетената стойност за използвано пространство винаги е по-ниска от разпределеното пространство.
За scratch томове максималното допустимо пространство за съхранение на скритите копия се определя при създаването на първото скрито копие – обикновено първия път, когато активирате Възстановяване на системата и създадете точка за възстановяване по време на настройката. Стойността е зададена на 30% свободно пространство или 15% от общия размер на тома, което от двете е по-малко. Този максимален размер е статичен. Не се променя, когато увеличавате или намалявате свободното пространство или когато променяте размера на тома.
Размерът обаче може да се коригира ръчно с помощта на инструмента VSSAdmin от команден ред с повишени права. Например за увеличаване максимален размермясто за съхранение на устройството C:\ до 15 GB, трябва да изпълните следната команда:
VSSAdmin Преоразмеряване на ShadowStorage /For=C: /On=C: /MaxSize=15GB
Тази функция се появи за първи път в Windows Server®, където скритите копия на определен том могат да се съхраняват на друг том. IN Windows Vistaсенчестите копия на тома се съхраняват на същия том. Следователно томът, който се копира, и томът, на който се намират копията, трябва да съвпадат.
От друга страна, размерът на пространството за съхранение на скрито копие на целевото устройство за пълно архивиране на компютъра е фиксирано на 30% от пълното устройство. Тази стойност се управлява от компютърната програма за архивиране и не може да се променя ръчно. Това място за съхранение на скрито копие се използва за съхраняване на инкрементални копия, създадени от пълно архивиране на компютъра.
До 64 скрити копия могат да се намират на том наведнъж, стига да има достатъчно място в зоната за съхранение на скрити копия. След достигане на ограничението за максимален размер, по-старите скрити копия се изтриват, за да се освободи място за по-нови. Следователно старите точки за възстановяване за System Restore се изтриват, когато се достигне ограничението за съхранение на работния обем, а старите архиви, създадени от CompletePC Backups, се изтриват, когато устройството за архивиране достигне това ограничение. В допълнение, съхраняването и редактирането на други данни на диск за архивиране може да попречи на нормалния процес на „стареене“ на архивите, което води до тяхното ускорено изтриване.
Не търсете Бога, нито в камък, нито в храм - търсете Бога в себе си. Търсач, нека намери.
Зареждане...