Как восстановить файлы после вируса

Восстановление данных после вирусной атаки

Как восстановить файлы после вирусной атаки? Как минимизировать потери после заражения вирусом, а также как защитить важную информацию от вредоносного ПО, расскажем в этой статье.

В современном мире вирусные программы, вымогатели, программы-шпионы и другое вредоносное ПО представляют собой серьезную угрозу безопасности. Вирусы умеют удалять и зашифровывать Ваши данные, после чего их крайне сложно восстанавливать. Данный процесс еще сильнее усугубляется тем, что большинство пользователей не делают резервных копий важных данных, либо создают их в синхронизированных облачных хранилищах.

Результатом этого стает либо полная потеря данных, либо целая коллекция зашифрованных файлов, синхронизированных с Вашим ПК в облаке.

Содержание:

«Ваши файлы были зашифрованы»

Данное сообщение можно увидеть при попадании на компьютер вирусов вымогателей, которые атакуют Windows, выискивая уязвимости в системе безопасности.

Стоит отметить, что большинство вирусов попадают на компьютер через электронные письма от незнакомцев, взломанные сайты, вместе с пиратским ПО и играми, файлами, скачанными с сомнительных источников, через флешки или другие съемные запоминающие устройства и т.д.

Важно заметить, в данный момент Windows 10 оборудована достаточно мощной встроенной системой защиты, поэтому жертвами вирусов-вымогателей чаще всего становятся пользователи старых и не обновлённых версий ОС, а также те, кто предпочел сторонние антивирусы встроенной защите.

Попав на ПК, вирусы-вымогатели зашифруют определенные данные, после чего потребуют выкуп. Отметим, в большинстве случаев вирусы-шифровальщики умеют только шифровать информацию и выдавать сообщения, возможность расшифровки в них, как правило, не предусмотрена. Таким образом, мы не рекомендуем отправлять никаких средств на указанные счета.

Как восстановить данные после вирусной атаки?

Как правило, зашифрованные вирусами данные – не подлежат дешифровке. Тем не менее существуют высокие шансы успешно восстановить их.

Это обусловлено принципом работы большинства программ-вымогателей:

Поняв принцип работы можно сделать вывод, что такое шифрование практически ничем не отличается от банального удаления, а в случае удаления Вам сможет помочь специализированное программное обеспечение от Recovery Software. К примеру, RS Partition Recovery сможет с легкостью справиться с восстановлением данных даже после форматирования или изменения логической структуры диска, поэтому восстановление удаленных файлов – не составит никакого труда.

Как полностью защитить свои данные от вирусных атак?

Одним из самых эффективных методов защиты данных от вирусов является резервное копирование. Правильно построенная стратегия резервного копирования файлов, делает любое воздействие вирусов-шифровальщиков – полностью неэффективным. Подобное вредоносное ПО может шантажировать только тех пользователей, которые не имеют в запасе резервных копий ценных данных.

Отметим, наличие резервных копий в облачном хранилище не всегда может быть эффективным. Для безопасного хранения стоит полностью отказаться от синхронизации!

Наиболее эффективным методом сохранения Вашей информации остаётся резервное копирование на внешние запоминающие устройства. Внешний HDD, объёмная флешка или карта памяти, DWD или Blu-Ray оптические диски – все это позволит создавать надежные резервные копии, к которым не смогут добраться вредоносные программы.

Особого внимания заслуживают оптические диски DWD-R, DWD+R, Blu-Ray и т.д. Конструкция данных носителей предполагает однократную запись данных, после которой с записанной информацией невозможно выполнять никаких действий. Использование подобных дисков полностью исключает возможность повреждения данных вирусным ПО. Более того, оптические диски не занимают много места, а записанные файлы могут храниться на них годами.

Важно! При использовании внешних жестких дисков для создания резервных копий, мы рекомендуем не оставлять их подключенными, поскольку многие вирусы обязательно попробуют распространиться и на подключенных носителях.

Часто задаваемые вопросы

Это сильно зависит от емкости вашего жесткого диска и производительности вашего компьютера. В основном, большинство операций восстановления жесткого диска можно выполнить примерно за 3-12 часов для жесткого диска объемом 1 ТБ в обычных условиях.

Если файл не открывается, это означает, что файл был поврежден или испорчен до восстановления.

Используйте функцию «Предварительного просмотра» для оценки качества восстанавливаемого файла.

Когда вы пытаетесь получить доступ к диску, то получаете сообщение диск «X: \ не доступен». или «Вам нужно отформатировать раздел на диске X:», структура каталога вашего диска может быть повреждена. В большинстве случаев данные, вероятно, все еще остаются доступными. Просто запустите программу для восстановления данных и отсканируйте нужный раздел, чтобы вернуть их.

Пожалуйста, используйте бесплатные версии программ, с которыми вы можете проанализировать носитель и просмотреть файлы, доступные для восстановления.

Сохранить их можно после регистрации программы – повторное сканирование для этого не потребуется.

Источник

Как без лишних усилий восстановить после атаки вируса скрытую информацию на флешке?

Шаг № 1: Настройка отображения данных в Windows

Прежде чем восстановить после вирусной атаки данные на внешнем накопителе, может потребоваться установить новые параметры отображения скрытых папок и файлов на компьютере. В этом случае для начала нужно зайти в меню «Пуск», открыть раздел «Панель управления» и выбрать в нем «Параметры папок». После этого в появившемся окошке кликнуть вкладку «Вид», найти в контекстном меню параметры для скрытых каталогов и файлов и установить флажок напротив пункта «Показывать…». Далее снять галочку напротив строчки «Скрывать защищенные…» и щелкнуть мышкой кнопку «Применить»:

Завершив включение отображения скрытых папок и файлов, можно смело двигаться дальше.

Шаг № 2: Удаление вирусов с внешнего накопителя

После того как Windows окажется настроен для работы, нужно поработать над тем, как удалить вирус с флешки. В этом случае вылечить внешний накопитель от autorun можно при помощи любого установленного на компьютере антивируса. Это может быть:

Базы сигнатур у этих программ сегодня практически одинаковые, поэтому каждой из них можно доверить распознать и удалить трояны, autorun и прочие вирусы на флешке. При этом процедура работы с этими антивирусами стандартна. Все, что потребуется – это установить на ПК антивирусную программу, настроить в ней автоматическую проверку внешних накопителей и уже после подключения флешки дождаться удаления с нее всех вирусов.

Вместе с тем если доступ к интернету органичен, внешний накопитель можно попытаться почистить и вручную. Для этого придется отыскать и удалить с флешки все ярлыки с разрешением (.lnk), неизвестные файлы в формате (.exe), autorun.inf и RECYCLER:

Шаг № 3: Восстановление материалов на внешнем накопителе

Подлечив флешку антивирусом или очистив его вручную от autorun, можно смело приступать к восстановлению скрытых на ней данных. В этом случае получить вместо ярлыков полноценные папки с «утерянной» информацией можно несколькими способами.

Вариант № 1: Отладка через командную строку.

В любом случае в результате таких действий атрибуты для скрытых папок аннулируются, преобразовав в итоге ярлыки в действующие каталоги с данными.

Вариант № 2: Настройка через Total Commander

Одна из причин установить на своем компьютере Total Commander – это возможность получить с помощью этого файлового редактора «утерянные» каталоги с файлами вместо пустых ярлыков. Так, для того чтобы восстановить данные на флешке, нажимаем в программке кнопку «Скрытые элементы», а затем открываем накопитель, который требуется привести в норму. Далее находим папку с красным восклицательным знаком, клацаем по ней правой кнопочкой мыши и выбираем вариант «Свойства» в появившемся контекстном меню:

Теперь в разделе «Атрибуты» снимаем галочку с пункта «Скрытый», жмем «Применить» и подтверждаем применение действия для всех внутренних файлов и папок:

В итоге вместо пустых ярлычков на флешке получаем потерянные нами каталоги. При этом несложно заметить, что исходя из этих функций, Total Commander можно использовать и для поиска скрытых вирусов, например, RECYCLER или autorun, заменяя таким образом антивирус.

Вариант № 3: Восстановление специальными утилитами

Вариант № 4: Использование лечащего файла

После проверки флешки антивирусом и удаления autorun и прочих вирусов для восстановления скрытых документов можно воспользоваться лечащим bat-файлом, который содержит набор кодов для настройки параметров отображения скрытых каталогов:

Его можно либо скачать здесь, либо создать вручную, сохранив указанный перечень команд в текстовом документе, а затем изменив его формат с (.txt) на (.bat). Так или иначе, чтобы способ заработал, необходимо переместить bat-файл на флешку.

Источник

Восстановление данных, удаленных вирусами или антивирусным ПО

Вирус или антивирусная программа удалили ценную информацию с компьютера? Не беда! Ниже мы расскажем про эффективные способы возвращения утерянных данных.

Содержание:

Утеря важной информации может быть вызвана самыми различными причинами: случайное форматирование, неправильная очистка диска, неисправность накопителя или флешки, повреждение файловой системы и логической структуры винчестера и т.д.

Данные случаи являются нередкими, но первенство по удалению файлов держат за собой случаи удаления информации вирусами или антивирусным ПО. Такое удаление может коснуться абсолютно любой информации, независимо от её типа. Нередко после удаления вирусами можно не обнаружить фотографий, текстовых документов, таблиц, презентаций или файлов других типов.

Почему происходит удаление файлов вирусами и антивирусами?

Сразу стоит разделить понятия удаления файлов вирусами и антивирусами.

В первом случае – вредоносная программа целенаправленно уничтожает важные данные и другие файлы для нанесения максимального вреда системе. Удалению могут подвергаться данные определенного типа, которые могут нести ценность. Нередко вирусы удаляют или шифруют фотографии, файлы Microsoft Word и т.д.

Кому это выгодно? Разработчикам вирусов, которые могут заниматься вымогательством средств у зараженных пользователей, через оповещения вирусного ПО.

Во втором случае – антивирусная система удалила зараженный или подозрительный файл, чтобы предотвратить дальнейшее распространение заражения по другим файлам.

Стоит понимать, что в таком случае удаление является защитной мерой антивируса, который изолирует подозрительные данные. Удаление антивирусом, во многих популярных антивирусных программах, может быть возможно только при личном подтверждении пользователя. К примеру, после проведения сканирования компьютера, антивирусная программа выдаст список зараженных файлов, а также перечень мер, которые можно к ним принять. Как правило это «Вылечить», «Поместить на карантин» и «Удалить».

При помещении в карантинную зону, файлы будут изолированы в специальной папке, откуда их можно быстро восстановить, добавив исключения в антивирус. Детально с восстановлением файлов из карантина можно ознакомиться в статье «Как восстановить файлы, удаленные «Защитником Windows».

Каждая антивирусная программа имеет свою структуру, поэтому папка с карантином может находится на диске С, в папке антивируса или в ином месте, в зависимости от установленного антивирусного ПО.

Если выбрать пункт «Вылечить», антивирусная программа попробует отделить вирус от файла.

Данная мера может оказаться неэффективной, поскольку вирусы способны встраиваться в структуру файла.

Если пользователь случайно выбрал функцию полного удаления зараженных файлов, восстановить их будет сложнее, но и из этой ситуации можно найти выход.

Как вернуть файлы из карантинов антивирусных программ?

В данный момент существует огромное разнообразие антивирусного программного обеспечения, которое предоставляет надежную защиту от вредоносных утилит. К сожалению, бывает так, что антивирусы по ошибке помещают «здоровые», а иногда даже и ценные для пользователя файлы в так званые карантины. В зависимости от антивирусной программы, изолированная зона карантина может носить различные названия к примеру, в AVG Internet Security такая зона называется хранилищем вирусов (Virus Vault), или сундуком с вирусами (Virus Chest) и т.д.

Ниже мы рассмотрим восстановление файлов из карантина, на примере популярных антивирусных программ.

Важно: восстановление вирусов из карантина следует проводить только в том случае, если Вы полностью уверены в безопасности файла.

Avast Free Antivirus

Для восстановления файлов из карантина Avast достаточно открыть пункт «Защита» в главном меню программы, после чего перейти в графу «Хранилище вирусов», где содержатся все данные, помещенные программой в карантин. Для восстановления следует отметить необходимые файлы галочкой, после чего нажать по правой части зеленой кнопки и в выпадающем меню и выбрать пункт «Восстановить».

Важно заметить: глобальные обновления практически всех антивирусных программ могут изменять интерфейс и, соответственно, месторасположение карантина.

McAfee Total Protection

В популярной антивирусной программе McAfee Total Protection карантин можно обнаружить, перейдя на «Домашнюю страницу» и нажав по иконке шестеренки, расположенной в правом верхнем углу. В выпадающем меню параметров достаточно перейти в пункт «Элементы на карантине» и восстановить необходимые файлы.

Norton AntiVirus

В антивирусной программе Norton AntiVirus для восстановления файлов из карантина следует пройти по таким шагам:

Шаг 1. Находясь в главном меню программы, следует кликнуть левой кнопкой мыши по графе «Безопасность».

Шаг 2. В открывшемся меню стоит нажать по пункту «Хронология».

Шаг 3. В меню «Журнал безопасности» необходимо нажать по выпадающему окну в верхней части экрана, после чего выбрать пункт «Карантин».

После этого, в меню справа появится пункт «Восстановить», с помощью которого можно вернуть файлы из карантина по одному.

Kaspersky Internet Security

Для восстановления файлов из карантина Kaspersky Internet Security нужно проследовать таким шагам:

Шаг 1. В главном меню программы нажимаем по символу стрелочки в правом нижнем углу.

Шаг 2. В открывшемся меню выбираем пункт «Карантин».

В следующем меню достаточно отметить необходимые файлы и восстановить их соответствующей кнопкой.

В некоторых версиях антивирусной программы, после нажатия кнопки «Восстановить», пользователю будет необходимо подтвердить действие в окне с предупреждением об возможной угрозе.

AVG AntiVirus Free

Для перехода в зону карантина, пользователю AVG AntiVirus Free достаточно нажать по трем полоскам, обозначающим меню программы, после чего из выпадающего меню выбрать пункт «Карантин».

После этого откроется список файлов в карантине, где можно будет выделять и восстанавливать объекты по одному.

Восстановление файлов Recovery Software

После удаления файла вирусами или антивирусным ПО, данные невозможно вернуть при помощи стандартного функционала Windows, поэтому для восстановления информации следует прибегнуть к использованию дополнительных утилит, специализирующихся на восстановлении удаленных данных.

Одной из таких утилит является RS Partition Recovery – мощное средство для быстрого восстановления удаленных данных.

Программа RS Partition Recovery представляет собой эффективную и доступную утилиту, которая способна вернуть данные после случайного форматирования, удаления вирусами или антивирусами, утери данных в результате повреждения накопителя, удаления файлов после изменения разделов и файловой системы жесткого диска, а также других случаев утери данных.

Функционал RS Partition Recovery позволяет провести глубокое сканирование, выявляющее все файлы, возможные для восстановления. Данная функция будет особенно полезна тем, кто обнаружил отсутствие важной информации через определенное время (вплоть до нескольких месяцев) после удаления. Помимо этого, RS Partition Recovery обладает функцией быстрого сканирования, которая поможет вернуть удаленные файлы в течении нескольких минут.

Для работы с программой RS Partition Recovery пользователю достаточно обладать базовыми знаниями работы с компьютером, поэтому утилиту можно смело использовать независимо от пользовательского опыта. Восстановление всей информации может происходить через интуитивно понятный мастер, который сможет быстро провести Вас по меню программы и подсказать что делать на каждом этапе восстановления. Стоит отметить, что RS Partition Recovery обладает низкими системными требованиями, поэтому программа будет работать на офисных машинах, маломощных ноутбуках и слабых ПК. Чтобы ознакомиться с работой, преимуществами и возможностями RS Partition Recovery, рекомендует изучить информацию на официальной странице программы.

Источник

Восстановление файлов после трояна-шифровальщика

Перспективы начать с ввода первичной документации в новую 1С базу, не сильно радовали бухгалтеров. Посему были рассмотрены дальнейшие возможности восстановления шифрованных файлов.

К сожалению, не были сохранены оригинальное тело вредоносного ПО и сообщение вымогателя, что не позволило дизассемблировать тело и установить алгоритм его работы посредством анализа в отладчике. Так же не было возможности проверить, встречался ли он различным антивирусным компаниям.

Поэтому сразу приступаем к анализу файлов, структуры которых хорошо известны. В данном случае удобно использовать для анализа DBF файлы из базы 1С, так как структура их весьма предсказуема. Возьмем файл 1SENTRY.DBF.BLOCKED (журнал бухгалтерских проводок), размер данного файла 53 044 658 байт

рис. 2

Рассматривая шифрованный DBF файл, обращаем внимание на то, что первые 0x35 байт не зашифрованы, так как присутствует заголовок, характерный для данного типа файлов, и наблюдаем часть описания первого поля записи. Произведем расчет размера файла. Для этого возьмем: WORD по смещению 0x08, содержимое которого равно 0x04C1 (в нем указан размер заголовка DBF файла), WORD по смещению 0x0A, содержимое которого равно 0x0130 (в нем указан размер одной записи в базе), DWORD по смещению 0x04, содержимое которого равно 0x0002A995 (количество записей), и 0x01 – размер конечного маркера. Решим пример: 0x0130*0x0002A995+0x04C1+1=0x0032965B2 (53 044 658) байт. Размер файла, согласно записи файловой системы, соответствует расчетному на основании информации в заголовке DBF файла. Выполним аналогичные проверки для нескольких DBF файлов и удостоверимся, что размер файла не был изменен вредоносным ПО.

Анализ содержимого DBF показывает, что небольшие файлы начиная со смещения 0x35 зашифрованы целиком, а крупные нет.

рис. 3

Номера счетов, даты и суммы изменены, чтобы не нарушать соглашения о конфиденциальности в том числе и в зашифрованном участке.

Начиная со смещения 0x00132CB5 обнаруживаем отсутствие признаков шифрования до конца файла, выполнив проверки в иных крупных файлах подтверждаем предположение, что целиком шифруются только файлы менее 0x00132CB5 (1 256 629) байт. Многие авторы вредоносного ПО выполняют частичное шифрование файлов с целью сокращения времени искажения пользовательских данных. Руководствуются вероятно тем, чтобы их вредоносный код за минимальное время нанес максимально возможный ущерб пользователю.

Приступим к анализу алгоритма шифрования

рис. 4

На рис. 4 на месте заголовков полей DBF файла присутствуют почти одинаковые последовательности из 16 байт (смещения 0x50, 0x70, 0x90), также видим частичное повторение последовательностей из 16 байт (смещения 0x40,0x60,0x80), в которых есть отличия только в байтах, где должно прописываться имя поля и тип поля.

Исходя из особенностей строения заголовков DBF файлов и изменений байт в последовательностях, можно сделать предположение, что шифрование выполнено посредством XOR операции над данными с неким паттерном. Также можно сделать предположение, исходя из длины повторяющихся последовательностей, что длина паттерна 16 байт (128 бит). Заголовок базы равен 0x04C1 байт, размер описания одного поля в заголовке 0х20 (32) байт. Из этого следует, что заголовок данного DBF файла содержит (0x4C1-0x21)/0x20=0x25 (37) описаний полей. На рис. 4 подчеркнуты красным фрагменты записей двух полей начиная со смещения 0x10, которые в случае 1С как правило имеют нулевые значения, кроме самого 0x10 (так как по этому смещению указывается размер поля), на основании этого можно полагать, что уже имеем 15 из 16 байт ключа шифрования 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.

Для нахождения последнего байта в ключе возьмем другой фрагмент этого же DBF файла.

рис. 5

На рисунке 5 обратим внимание на нулевой столбец, точнее на его нешифрованную часть, и видим, что там преобладает значение 0x20 (код пробела согласно ASCII таблицы). Соответственно, и в шифрованной части столбца будет преобладать некое одинаковое значение. Легко заметить, что это 0xFA. Для получения оригинального значения недостающего байта ключа необходимо выполнить 0xFA xor 0x20=0xDA.

Подставив полученное значение на недостающую позицию, получим полный ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.

После выполнения процедуры xor операции с полученным ключом над шифрованными участками получили оригинальное содержимое файла

рис. 6

Для окончательного контроля проведем операцию расшифровки zip архива, затем распакуем архив. Если все файлы извлеклись и не возникало ошибки CRC для какого-либо файла, то можно окончательно подтвердить корректность ключа. И финальным этапом будет распаковка остальных файлов согласно технического задания.

Данный пример говорит о том, что вероятно не все высказывания авторов вредоносного программного обеспечения правдивы. И нередко можно решить задачу восстановления пользовательских данных посредством анализа измененных данных.

Наряду с подобными простыми случаями встречаются трояны-шифровальщики, которые действительно будут использовать современные криптографические алгоритмы и в случае их атаки подобное простое решение в принципе невозможно. Посему будьте предельно осторожны при открытии любых файлов, полученных по электронной почте даже от доверенных источников. Регулярно обновляйте антивирусное ПО и делайте резервное копирование таким образом, чтобы ваши данные во всех копиях не были доступны кому-либо единовременно.

Источник