Існує не так багато способів, щоб відновити файли, зашифровані в результаті атаки шифрувальника, але при цьому не платити викуп за них. Якщо нам пощастило, то можуть бути деякі безкоштовні засоби для їх відновлення, але реальніший варіант – це відновлення Ваших файлів з Ваших резервних копій. Однак далеко не кожна людина має резервні копії своїх файлів, хоча Windows пропонує дуже корисну функцію, відому як Shadow Copy , яка, якщо говорити коротко, є бекап Ваших файлів. Кібер-злочинці дізналися про неї досить давно, тому через кілька місяців після того, як атаки шифрувальників стали популярними, перше, що вони роблять при зараженні Вашого комп'ютера, - це видаляють тіньову копію Ваших файлів перш, ніж почати шифрування Вашої інформації.
Існує низка технологій, які можуть бути застосовані для зупинки атак шифрувальників: деякі з них майже марні, такі як сигнатури або евристика (це перше, що перевіряють автори шкідливих програм перед їх «релізом»), інші іноді можуть бути більш ефективними, але навіть поєднання всіх цих технік не гарантує, що ви будете захищені від усіх подібних атак.
Понад 2 роки тому в антивірусної лабораторії PandaLabs застосували простий, але досить ефективний підхід: якщо якийсь процес намагається видалити тіньові копії, то, швидше за все (але не завжди, до речі), ми маємо справу з шкідливою програмою, І найімовірніше - з шифрувальником. У наш час більшість сімейств шифрувальників видаляють тіньові копії., т.к. якщо цього не робити, то люди не платитимуть викуп, раз вони можуть безкоштовно відновити свої файли. Розглянемо, скільки інфекцій було зупинено у нашій лабораторії завдяки такому підходу. Логічно припустити, що це кількість має зростати у геометричній прогресії, т.к. кількість атак шифрувальників, які використовують цей прийом, також швидко зростає. Ось, наприклад, кількість атак, які ми заблокували за останні 12 місяців за допомогою нашого підходу:
Але на діаграмі ми бачимо прямо протилежне тому, що очікували. Як таке можливо? Насправді такому «феномену» є дуже просте пояснення: ми використовуємо цей підхід як «останній засіб», коли жодні інші техніки безпеки не змогли виявити нічого підозрілого, а тому спрацьовує це правилощо блокує атаку шифрувальника. Цей підхід ми використовуємо ще й для внутрішніх цілей, внаслідок чого ми можемо проаналізувати детальніше ті атаки, що були заблоковані на «останньому рубежі», і потім покращити всі попередні рівні безпеки. Ми також використовуємо цей підхід для оцінки того, наскільки добре чи погано ми зупиняємо шифрувальників: тобто чим нижче значення, тим краще працюють наші основні технології. Отже, як Ви бачите, ефективність нашої роботи підвищується.
Оригінал статті.
Тіньове копіювання - це нова функція, що з'явилася в Windows ХР та Windows Server 2003 і робить можливим архівацію відкритих файлів.
Коли потрібно архівувати відкриті файли? Нехай, наприклад, на одному із робочих місць вашого підприємства все ще працює старовинна бухгалтерська программа. Власного механізму архівації вона не має і дані здатна тримати лише на локальному комп'ютері. Про архівування її бази даних доведеться думати адміністратору, тобто вам.
Під час архівування цих файлів через мережу комп'ютер бухгалтера повинен бути включений, але програма працювати не повинна, щоб файли не залишалися відкритими. Але ця програма написана як автоматизоване робоче місце, стартує при увімкненні комп'ютера і завершується при його вимиканні, і вам залишається лише проклинати її автора.
Виходом із цієї ситуації стане встановлення на робоче місце бухгалтера Windows XP Professional (вважаємо, що звична програма працюватиме і під цією операційною системою). Після цього ви зможете архівувати всі робочі файли цієї програми, незважаючи на те, завершена вона чи ні.
Тіньове копіювання та спільні папки
За допомогою неї можна повернутися до попередньої версії файлу в папці, що розділяється на сервері. Набагато важливішим є наступний факт. У попередніх версіях Windows(включаючи Windows 2000) видалення файлу з спільної папкичерез мережу приводило до нього безповоротної втрати- він не залишався навіть у Кошику. А в ОС Windows Server 2003, видаливши файл, ви зможете відновити його попередню версію, яка може бути ідентичною до поточної.
За замовчуванням вимкнено тіньове копіювання спільних папок. Включається воно на сервері розділу, на якому фізично розташовані спільні папки. Це має бути розділ із файловою системою NTFS.
1. Зареєструйтесь на СЕРВЕРІ як адміністратор. Відкрийте вікно властивостей диска:.
2. Перейдіть на вкладку Тінне копіювання. Ви побачите, що цю функцію вимкнено.
3.Натисніть кнопку Параметри та відредагуйте властивості поточного розділу. Ви можете вказати, як часто копіюватиметься розділ (за замовчуванням двічі на день) і яке місце на диску відводиться під копії. Рекомендується залишити стандартні значення. Закрийте діалогове вікно, натиснувши кнопку ОК.
4.Натисніть кнопку Дозволити та у наступному діалоговому вікні підтвердіть своє рішення натисканням кнопки Так.
Відразу після цього розпочнеться створення першої копії розділу. Інформація про цю дію у формі дати та часу відобразиться в нижній частині вікна.
Примітка.
Не обов'язково копіювати розділ на той самий фізичний диск. Якщо у вас встановлено кілька фізичних дисків, ви значно підвищите продуктивність дискової підсистеми, направивши копію на інший диск. Єдина умова - цей диск має бути відформатований у файловій системі NTFS.
Організація тіньового копіювання на робочої станції
Клієнтські комп'ютери під керуванням Windows XP Professional не можуть використовувати функцію тіньового копіювання одразу. Спочатку на них потрібно встановити клієнтське програмне забезпечення. Інсталяційний файл TWCLI32 .MSI знаходиться на сервері (під керуванням Windows Server 2003) у папці %SYSTEMROOT%\system32\clients\twclient\x86.
1. Зареєструйтесь на комп'ютері як адміністратор.
2.Запустіть Провідник і введіть в адресний рядок шлях \\ ім'я СЕРВЕРА \
з $\windows\system32\clients\twclient\x86\twcli32.msi.
Встановиться клієнт Previous Versions Client.
Клієнти для операційних систем Windows 2000 Server з встановленим пакетомоновлення SP3 і далі, Windows 2000 Professional та Windows98 можна завантажити з сайту Microsoft за адресою http://www. microsoft. com/windowsserver203/downloads/shadowcopyclient.mspx.
Для операційних систем Windows NT 4.0 такого клієнта немає. Для систем нижче, ніж Windows XP, клієнтську програму потрібно встановити як на клієнтський комп'ютер, так і сервер системою Windows Server 2003
Застосування тіньового копіювання
Щоб скористатися благами тіньового копіювання:
1. Зареєструйтесь на комп'ютер як рядовий користувач.
2.Відкрийте папку свого підрозділу у загальному сховищі документів.
3. Відобразіть властивості будь-якого файлу (краще текстового). Перейдіть на вкладку Попередня версія. З моменту встановлення клієнта тіньового копіювання жодної попередньої версії ще не створювалося, тому список порожній.
4. Відкрийте файл, відредагуйте його та збережіть під тим самим ім'ям.
5.Повторіть п.З. Тепер на вкладці Попередня версія ви побачите попередню версію файлу з датою її створення.
6. Ви можете переглянути її, натиснувши кнопку Відобразити. Копія документа призначена лише для читання, і перейменувати та зберегти її неможливо. Щоб відновити попередню версію під іншим ім'ям, спочатку потрібно скопіювати її в інше місце, натиснувши кнопку Копіювати.
Якщо ви помилково видалили файл із спільної папки і хочете його відновити, робіть так:
1.З клієнтського комп'ютера відобразіть властивості папки, в якій був документ, і перейдіть на вкладку Попередня версія.
2.Натисніть кнопку Відобразити та перегляньте вміст попередньої версії документа. Якщо воно вас влаштовує, створіть новий документі скопіюйте вміст через буфер обміну.
Якщо ви помилково відредагували та зберегли документ, то можете відновити його правильну версію, натиснувши кнопку Відновити на вкладці Попередня версія.
Таким чином, функція тіньового копіювання допомагає користувачам швидко відновити їх документи, що знаходяться в папках, що розділяються, у таких випадках:
* при ненавмисному видаленні файлів;
* при ненавмисній зміні вмісту файлів (використання команди Зберегти замість Зберегти як);
* при пошкодженні файлів.
Зверніть увагу, що копіюється весь розділ, а не тільки папки, до яких на момент копіювання відкрито мережевий доступ. Це означає, що після створення копії ви надасте доступ до нової папки, попередні версіїїї файли будуть доступні користувачам з моменту відкриття доступу.
Служба "Тіньове копіювання тому" (Volume Shadow Copy Service, VSS) зберігає точки відновлення та підтримує резервування та відновлення файлів на підставі механізму отримання миттєвих знімків файлів та даних (snapshot), іменовані тіньовими копіями. VSS створює статичні копії відкритих файлів і програм, які за інших обставин занадто непостійні для резервування.
Звучить переконливо, але VSS забирає велику кількість дискового простору. Для початку скористайтеся командою "vssadmin", щоб переглянути, скільки місць займають поточні тіньові копії тома за допомогою команди "vssadmin list shadowstorage". (Для більш детальної інформаціїнатисніть кнопку "Start", введіть cmd у рядку пошуку, а потім введіть vssadmin /?).
На скріншоті, наведеному нижче, активовані точки відновлення для дисків C: і D; на цих дисках є також тіньові копії. Подивимося, скільки дискового простору витрачається на тіньові копії цих дисків: 22,079 Гбайт на диску D: (загальний об'єм: 149 Гбайт; об'єм, який займає тіньові копії = 15,5%) і 64,448 Гбайт на диску C: (загальний об'єм: 46; обсяг, який займає тіньові копії = 14,9%).
Якийсь момент ми виявили всього 230 Гбайт вільного простору на 465-Гбайт диску C:, хоча ми точно знали, що на ньому міститься всього 120 Гбайт файлів. Пошуки зниклих 115 Гбайт привели нас до служби Volume Shadow Copy Service. Ми знову скористалися командою "vssadmin list shadows" (ми не стали наводити результат її виконання, оскільки він дуже довгий: там перераховані всі тіньові копії на диску) і з'ясували, що одна з тіньових копій займає 85 Гбайт! Оскільки ми недавно копіювали велику колекцію музичних файлів зі старого 200-Гбайт USB-накопичувача на наш новий швидший диск SATA, служба VSS, очевидно, створила тіньову копію файлів одночасно з їх копіюванням в папку, доступну користувачам.
Як позбутися від цієї непотрібної тіньової копії? За замовчуванням Vista виділяє тіньові копії 15% дискового простору, однак операційна системасуворо не обмежує загальний обсяг тіньових копій. Якщо тіньової копії потрібно більше місця, Vista з радістю його надасть. За допомогою утиліти командного рядка vssadmin можна встановити чіткий ліміт дискового простору для тіньових копій. Ось як це можна зробити:
Vssadmin resize shadowstorage /For=T: /On=T: /MaxSize=Num
Замість літери "T" підставте назву диска і замініть "Num" на число, що дорівнює 15% ємності цього диска. У випадку з нашим диском C: ця команда виглядатиме так:
Vssadmin resize shadowstorage /For=C: /On=C: /Maxsize=69GB
Перш ніж скористатися цим трюком, зробіть резервну копію своєї системи та створіть точку відновлення відразу після перезавантаження системи. Після виконання наведеної вище команди Vista автоматично спочатку видаляє найстаріші точки відновлення до тих пір, поки не досягне заданої вами межі.
У попередній статті розповідалося про можливості резервного копіювання Windows 7 - створення файлових архівів та дискових образів. Ця стаття присвячена відновленню файлів із архіву та системи з образу диска, а також відновленню попередніх версій файлів.
На цій сторінці:
Відновлення файлів з архіву
У Windows 7 можна відновлювати файли з архіву за допомогою елемента панелі керування.
У головному вікні елемента панелі керування є три варіанти відновлення файлів:
- Відновити мої файли- дозволяє вибрати окремі файли та папки для відновлення.
- Відновити файли всіх користувачів- також дозволяє вибрати окремі файли та папки, але для всіх користувачів комп'ютера.
- Вибрати іншу резервну копію для відновлення файлів- дозволяє відновити файли всіх користувачів та вибрати архів, розташований на мережному диску.
Нижче розглядається відновлення "моїх" файлів. Перше вікно майстра відновлення файлів насичене опціями, тож підемо по порядку.
Вибір дати архіву. За замовчуванням використовується останній архів, про що система повідомляє у вікні. Ви можете вибрати більш ранню дату - наприклад, якщо вам потрібна стара копія файлу.
Інтерфейс, схоже, розрахований на дуже часте архівування - за замовчуванням відображаються архіви за останній тиждень (на мій погляд, логічніше відразу відображати архіви за місяць), але ви можете вибрати старіші, звичайно.
Пошук файлів. Це дуже зручний засіб, що дозволяє миттєво знайти потрібні файли в архіві.
Зверніть увагу, що у вікні використовується інтерфейс провідника, тобто в результатах пошуку ви можете вибрати потрібні стовпці властивостей файлу та сортувати за ними (угруповання, втім, ні).
Додавання файлів та папок. Поряд із пошуком є можливість додавання індивідуальних файлів та папок – для кожної дії власна кнопка.
Список файлів, що відновлюються. Відображаються імена доданих папок та окремих файлів.
Видалення файлів та папок зі списку. Файли та папки видаляються лише зі списку відновлюваних, але не з архіву.
Перехід до вибору призначення для відновлюваних файлів. Ви можете відновити файли:
- у вихідне місце. У цьому випадку, якщо файл з таким самим ім'ям існує, система виведе стандартний діалог, який пропонує перезаписати файл, зберегти обидві копії в папці або відмовитися від копіювання.
- у вказане місце. У цьому випадку є можливість відновлення файлів із збереженням структури папок, починаючи від кореня архіву (виділено малюнку).
Визначившись з кінцевим розташуванням файлів, що відновлюються, натисніть кнопку Відновити.
Відновлення попередніх версій файлів та папок
Уявіть, що ви, працюючи з документом, видалили його частину, зберегли файл і закрили програму. А потім раптом згадали, що вилучили щось дуже важливе. Або уявіть, що ви видалили файл повз кошик, а через місяць він вам дуже знадобився. В обох випадках у вас є добрий шанс відновити попередні версії файлів, які можуть зберігатися у Windows 7 двома способами:
- файлові архіви, створювані за допомогою архівації Windows
- тіньові копії, що створюються функцією захисту системи за допомогою служби тіньового копіювання тома
Доступ до відновлення попередніх версій здійснюється з властивостей файлу або папки на вкладці Попередні версії.
Відновлення попередніх версій файлів із архівів
Якщо файл включено в архів засобами резервного копіювання Windows, його властивості на вкладці Попередні версії Архівація.
Якщо при відновленні файлу система виявить, що файл із таким ім'ям вже існує, вам буде запропоновано перезаписати існуючий файл, зберегти його з іншим ім'ям або відмовитись від відновлення.
Безумовно, цей файл можна відновити з панелі управління, але робити це з властивостей файлу може виявитися зручніше і швидше.
Відновлення попередніх версій файлів та папок із тіньових копій
Для того, щоб була можливість відновлення файлів і папок з тіньових копій, повинен працювати захист системи, що включається для кожного диска окремо. Можливо, це не дуже очевидно, але саме параметри захисту системи контролюють роботу та обсяг дискового простору для служби тіньового копіювання копіювання тома, що забезпечує зберігання точок відновлення системи та тіньових копій файлів та папок.
Тіньові копії не зберігаються нескінченно довго. Їм виділяється певний відсоток дискового простору, і після досягнення заданої межі старі копії замінюються новими. Оскільки про захист та відновлення системи розповідає, тут я розгляну лише відновлення попередніх версій.
З тіньових копій можна відновити попередні версії:
- окремих файлів
- папок із файлами
Відновлення файлу з тіньової копії майже не відрізняється від відновлення файлу з архіву. Властивості файлу на вкладці Попередні версіїви побачите список версій, а як розташування буде вказано Точка відновлення.
На відміну від файлу, збереженого в архіві, в цьому випадку вам будуть доступні варіанти відкриття та копіювання файлу у вибрану папку.
Крім окремих файлів, із тіньових копій можна відновлювати папки. Список версій можна побачити у властивостях папкина вкладці Попередні версії.
Ви можете відкрити папку, копіювати її в інше місце або відновити на старому місці. При відновленні, як і у випадку з файлами з архівів, система попередить вас, якщо в папці опиниться файл із таким самим ім'ям.
Відновлення видалених файлів із тіньових копій
Якщо потрібно відновити попередню копію існуючого файлу, достатньо перейти у властивості файлу на вкладку Попередні версії. А що робити, якщо файл видалено? У вас є два шляхи:
- відновлення папки
- пошук файлу
З тіньової копії можна відновити папку, в якій знаходився файл, як описано вище. Якщо ви не пам'ятаєте точного розташування файлу, але приблизно уявляєте, де в дереві папок він знаходився, можна відновити батьківську папку.
Однак, перш ніж відновлювати папку, можна спробувати знайти віддалений файлза допомогою пошуку Windows. Давайте розглянемо послідовність дій на прикладі. Я видалив файл support_center01.png, А тепер він мені знадобився. Я знаю, в якій папці він знаходився, і шукаю файл у ній (а якби не знав точне розташування, шукав би у найближчій батьківській).
Тіньові копії не індексуються, а віддалений файл миттєво виключається з індексу, тому пошук його не знаходить. Тому потрібно шукати в неіндексованих місцях, клацнувши Комп'ютери.Пошук неіндексованих файлів виконується довше, але ваше терпіння буде винагороджено.
У тіньових копіях знайшовся не тільки потрібний мені PNG-файл, але й давно видалений BMP-файл з тим же ім'ям, про яке я й думати забув.
Чому тіньові копії можуть бути відсутніми
Прочитавши про попередні версії файлів, ви, можливо, захочете перевірити, чи створюються вони у вашій системі. Якщо ви не знайшли попередніх версій, це може означати, що:
- відключено захист системи, тобто. відсутні точки відновлення, де зберігаються попередні версії системних файлів
- для захисту системи виділено незначний дисковий простір, тому для тіньових копій файлів користувача не вистачає місця
- файл або вміст папки не змінювалися - у цьому випадку тіньові копії не створюються
Підсумовуючи розповіді про відновлення файлів, хочу підкреслити, що технології Windows пов'язані між собою. Найкращі шанси на відновлення файлів у вас будуть у випадку, якщо ви використовуєте архівацію Windows поряд із захистом системи. Ви можете підвищити ці шанси, створюючи резервні образи системи, про відновлення яких і йтиметься нижче.
Відновлення системи із заздалегідь створеного образу
Під час установки Windows 7 на жорсткому диску автоматично створюється службовий розділ, що містить середовище відновлення Windows RE (Recovery Environment). Використовуючи цей розділ, ви можете:
- завантажитися в середу відновлення з жорсткого диска
- створити диск відновлення системи та завантажитися з нього
Виконавши завантаження в середовище відновлення, ви зможете відновити систему із заздалегідь створеного образу.
Увага!Докладну розповідь про створення диска відновлення системи, середовище відновлення та варіанти завантаження в неї ви знайдете у статті Використання середовища відновлення Windows RE у Windows 7 . Нижче наведено лише завантаження в Windows RE з жорсткого диска.
Завантаження в середу відновлення з жорсткого диска
Для того, щоб увійти в меню Додаткові варіанти завантаження, натисніть F8після увімкнення комп'ютера, але до завантаження операційної системи.
Виберіть перший пункт меню Усунення несправностей комп'ютерата натисніть Enter. Запуститься середовище відновлення Windows, де вам буде запропоновано вибрати розкладку клавіатури.
Виберіть мову, якою у вас заданий пароль адміністративної облікового запису, Оскільки наступному етапі його потрібно ввести.
Після введення пароля ви побачите меню з варіантами відновлення, одним з яких є Відновлення образу системи.
Відновлення образу системи із середовища Windows RE
В середовищі Windows RE є різні засоби відновлення системи.
Ви також можете вибрати інший спосіб відновлення. Вибравши образ, натисніть кнопку Далі, щоб розпочати процес відновлення.
Ви можете відформатувати диски і створити розділи, при цьому ви можете виключити диски з операції форматування (диск, що містить архівний образ автоматично виключається). Також, ви можете просто відновити образ на наявному системному розділі. За кнопкою Додатковоховається ще дві опції.
Визначившись із параметрами відновлення, натисніть кнопку Далі, а потім, в останньому вікні майстра, натисніть кнопку Готово. Windows 7 попередить вас про те, що всі дані буде видалено з розділу, і запустить процес відновлення.
Якщо у вас немає настановного диска Windows 7, обов'язково створіть диск відновлення системи. Цей диск дозволить вам відновити резервний образ системи навіть у тому випадку, якщо на жорсткому диску виявиться пошкодженим службовий розділ Windows RE.
Сподіваюся, що ви створюєте тіньові копії всього диска, не на тому ж диску, що і система, щоб їх переглядати?
Зазвичай, ці копії неможливі для перегляду, як файли архівації, але видно, що місце зайняте.
Керування простором для тіньового копіюванняПростір для зберігання тіньових копій виділяється окремо на робочих томах і резервному диску для повного копіювання системи. Використовуваний, виділений та максимальний простір для тіньових копій можна перевірити шляхом запуску наступної команди з командного рядка з підвищеними привілеями:
VSSAdmin list ShadowStorage
Використовуваний простір - простір, зайнятий тіньовими копіями зараз; виділене – простір, зарезервований для тіньових копій (і не використовуваний для інших завдань); максимальне – верхній поріг, далі якого обсяг тіньових копій не може зростати.
Виділення простору для тіньових копій відбувається автоматично, а значить, воно не може бути встановлене користувачем. Новий простір виділяється фіксованими шматками у міру заняття раніше виділеного простору. Тому значення, що вказується для використовуваного простору, завжди нижче, ніж для виділеного.
Для робочих томів максимальний допустимий простір для зберігання тіньових копій визначається при створенні першої тіньової копії - зазвичай при першому включенні засобу відновлення системи та створення точки відновлення під час встановлення. Значення встановлюється на 30% вільного простору або 15% від загального розміру тому, що менше. Цей максимальний розмір є статичним. Він не змінюється ні при збільшенні, ні при зменшенні вільного простору, ні за зміни розміру тому.
Однак розмір можна підправити вручну шляхом використання засобу VSSAdmin із командного рядка з підвищеними привілеями. Наприклад, щоб збільшити максимальний розмірпростору зберігання на диску C:\ до 15 ГБ, потрібно виконати таку команду:
VSSAdmin Resize ShadowStorage /For=C: /On=C: /MaxSize=15GB
Цей засіб вперше з'явився на Windows Server®, де тіньові копії певного тома можна було тримати іншому томі. В Windows Vistaтіньові копії тому зберігаються на тому ж томі. Отже, копійований том і те, на якому копії знаходяться, повинні співпадати.
З іншого боку, обсяг простору для зберігання тіньових копій на диску призначення повного резервного копіювання комп'ютера зафіксовано на 30% повного об'єму диска. Це значення контролюється програмою резервного копіювання комп'ютера та не може бути змінено вручну. Цей простір для зберігання тіньових копій використовується для зберігання додаткових копій, створених за допомогою повного резервного копіювання комп'ютера.
До 64 тіньових копій можуть знаходитись на томі в один момент часу, якщо їм вистачить місця в області збереження тіньових копій. Після того, як максимальне обмеження за обсягом досягнуто, старі тіньові копії видаляються, щоб звільнити місце для нових. Отже, старі точки відновлення для засобу відновлення системи видаляються при досягненні межі об'єму, що зберігається в робочому томі, а старі резервні копії, створені CompletePC Backups, видаляються при досягненні цієї межі на резервному диску. Крім того, зберігання та редагування інших даних на резервному диску можуть втрутитися в нормальний процес «старіння» резервних копій, призводячи до їх прискореного видалення.
Не шукай Бога, не в камені, не в храмі - шукай Бога в собі. Той, хто шукає, та знайде.
Завантаження...