Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.
Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:
Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.
Оригинал статьи.
Служба "Теневое копирование тома" (Volume Shadow Copy Service, VSS) сохраняет точки восстановления и поддерживает резервирование и восстановление файлов на основании механизма получения моментальных снимков файлов и данных (snapshot), именуемые теневыми копиями. VSS создаёт статические копии открытых файлов и приложений, которые при других обстоятельствах являются слишком непостоянными для резервирования.
Звучит убедительно, но VSS отнимает большое количество дискового пространства. Для начала воспользуйтесь командой "vssadmin", чтобы посмотреть, сколько места занимают текущие теневые копии тома с помощью команды "vssadmin list shadowstorage". (Для более подробной информации нажмите кнопку "Start", в строке поиска введите cmd, а затем для получения помощи введите vssadmin /?).
На приведённом ниже скриншоте активированы точки восстановления для дисков C: и D; на этих же дисках есть также теневые копии. Посмотрим, сколько дискового пространства тратится на теневые копии этих дисков: 22,079 Гбайт на диске D: (общий объём: 149 Гбайт; объём, занимаемый теневыми копиями = 15,5%) и 64,448 Гбайт на диске C: (общий объём: 465 Гбайт; объём, занимаемый теневыми копиями = 14,9%).
В какой-то момент мы обнаружили всего 230 Гбайт свободного пространства на 465-Гбайт диске C:, хотя мы точно знали, что на нём содержится всего 120 Гбайт файлов. Поиски пропавших 115 Гбайт привели нас к службе Volume Shadow Copy Service. Мы снова воспользовались командой "vssadmin list shadows" (мы не стали приводить здесь результат её выполнения, поскольку он очень длинный: там перечислены все теневые копии на диске) и выяснили, что одна из теневых копий занимает 85 Гбайт! Поскольку мы недавно копировали большую коллекцию музыкальных файлов со старого 200-Гбайт USB-накопителя на наш новый более быстрый диск SATA, служба VSS, очевидно, создала теневую копию тех файлов одновременно с их копированием в папку, доступную пользователям.
Как избавиться от этой ненужной теневой копии? По умолчанию Vista выделяет теневым копиям 15% дискового пространства, однако операционная система строго не ограничивает общий объём теневых копий. Если теневой копии требуется больше места, то Vista с радостью его предоставит. С помощью утилиты командной строки vssadmin можно установить чёткий лимит дискового пространства для теневых копий. Вот как это можно сделать:
Vssadmin resize shadowstorage /For=T: /On=T: /MaxSize=Num
Вместо буквы "T" подставьте название своего диска и замените "Num" на число равное 15% ёмкости этого диска. В случае с нашим диском C: эта команда будет выглядеть так:
Vssadmin resize shadowstorage /For=C: /On=C: /Maxsize=69GB
Прежде чем воспользоваться этим трюком, сделайте резервную копию своей системы и создайте точку восстановления сразу же после перезагрузки системы. После выполнения приведённой выше команды, Vista автоматически сначала удаляет самые старые точки восстановления до тех пор, пока не достигнет заданного вами предела.
Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.
Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:
Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.
Оригинал статьи.
Приходится признать: ошибки неизбежны, особенно если речь идет о компьютерах, сетях, технике и людях, ее использующих. Всем пользователям порой случается удалять, изменять или другим образом портить важные документы. В такой ситуации высоко ценится возможность вернуть все как было. Механизм теневого копирования тома, реализованный в , позволяет решить проблему в несколько щелчков мыши - если, конечно, включен и сконфигурирован правильно. Настроить и использовать эту функцию совсем не сложно - надо только знать, где ее искать.Настройка теневого копирования
Чтобы иметь возможность пользоваться теневым копированием, для начала нужно его включить. Учтите, что оно требует дополнительных системных ресурсов, поэтому обдумайте, насколько актуальна для вас возможность восстановления файлов. В большинстве случаев преимущества перевешивают недостатки, но в некоторых ситуациях необходимость выделять под теневое копирование дополнительные ресурсы оказывается неприемлемой.
Настройки теневого копирования содержатся в свойствах системы. Откройте средство «Система» (System) в Панели управления (Control Panel, рис. A) или введите ключевое слово «система» («system» для англоязычного интерфейса, без кавычек) в строке поиска меню «Пуск» (Start).
Рисунок A. Свойства системы в Vista.
В левой части окна «Система» нажмите ссылку «Защита системы» (System Protection, рис. B). Как ни странно, мне не удалось найти ключевое слово, которое позволило бы вызвать окно «Защита системы» прямо из строки поиска меню «Пуск». Видимо, без промежуточного этапа не обойтись.
Рисунок B. Ссылка «Защита системы».
В диалоговом окне свойств системы откройте вкладку «Защита системы» (рис. C) и отметьте флажками диски, для которых хотите включить теневое копирование. После этого можно сразу же создать точку восстановления, нажав кнопку «Создать» (Create). В противном случае она будет создана при выключении и следующем запуске.
В этом окне также можно запустить восстановление системы из предыдущей точки, если она существует. Завершив настройку, нажмите «OK».
Рисунок C. Вкладка «Защита системы»
Использование теневого копирования
Настроив теневое копирование, вы можете быть уверены в том, что при необходимости важные файлы удастся восстановить. Для примера я создал файл Word 2007 с именем «ShadowTest.docx» и сохранил его в папке «Документы» (Documents) для своего профиля.
Рисунок D. Мои документы.
На рис. E показано содержимое файла - всего одна строка текста.
Рисунок E. Текст файла «ShadowTest.docx».
Сохранив документ и закрыв Word, я нажал на файле правой кнопкой мыши, чтобы вызвать окно свойств, и открыл вкладку «Предыдущие версии» (Previous Versions). Как видно из рис. F, теневая копия этого документа еще не создана. В нормальных условиях она появится после выключения и следующего запуска.
Учтите, что теневое копирование не исключает необходимость стандартного резервного копирования файлов, а лишь дополняет его. Восстановление файлов из теневой копии все равно приводит к утрате определенных данных и отнимает много времени. К нему стоит прибегать только в крайних случаях.
Рисунок F. Свойства файлов.
Для примера я создал точку восстановления, чтобы получить теневую копию тестового файла (рис. G).
Рисунок G. Новая точка восстановления.
Теперь со вкладки «Предыдущие версии» в окне свойств файла (рис. G) можно открыть документ, скопировать или восстановить его предыдущую версию. При этом текущий файл будет заменен теневой копией, о чем Windows отдельно предупреждает (рис. H).
