Як відновити файли після шифрування вірусу-шифрувальника WannaCry

Доброго дня, читачі. На Хабре багато писали, як захиститися від WannaCry. Але чомусь ніде не висвітлили, як зробити повернення зашифрованих даних. Хочу заповнити цю прогалину. І трохи пролити світло на те, як ми це робили в нашій «усім відомій» компанії, яка бере участь у логістиці. Це більша інструкція для наших адміністраторів ІБ.

Відновлення після шифрування даних

файли

Для цього можна скористатися утилітою ShadowExplorer - вона безкоштовна і дозволяє відновити файли з точок відновлення. Точки відновлення створюються при кожному оновленні системи та старі затираються новими. Кількість точок залежить від виділеного місця відновлення. У середньому їх 5-6 штук зберігається на середньому Windows.

Вибираєте точку відновлення і можна експортувати файли та директорії у потрібне вам місце:

файли

Вибираєте ті файли, які ще не зашифровані, та експортуєте їх у потрібне Вам місце.

(У деяких випадках коли вже пройшло оновлення можуть затертися ті точки відновлення, коли ще файли були не зашифровані. Також можливі ситуації коли частина даних вже зашифрована в точках відновлення, а частина ще ні. Вам необхідно відновити тільки те, що можна відновити. )

файли

Ось в принципі і все, що потрібно для відновлення там, де це можливо.

Важливо!Після відновлення файлів необхідно потерти ті точки відновлення, де дані вже були зашифровані. Відмічено, що саме звідси вірус сам себе відновлює після очищення.

Далі невеликий guide з мене (інструкція адмінам), щоб…

Відновити дані, а також знешкодити та видалити вірус:

1. Вимкнути комп'ютер від мережі 2. Далі необхідно скористатисяутилітою wann_kill_v_(номер версії) – ця утиліта вбиває процес вірусу. Самі вірусні сигнатури залишаються зберігаються у системі. Це робимо т.к. коли ви приходите з флешкою ​​на комп'ютер, який потрібно пролікувати, вірус шифрує флешку. Важливо встигнути запустити цю утиліту перед тим, як вірус залізе на флешку.

файли

3. Очищайте Комп'ютер за допомогою DrWeb CureIt (тут видаляється сам вірус із комп'ютера) 4. Відновлюєте дані, які вам потрібні як описано вище «Після шифрування даних» 5.(Тільки після відновлення даних)Знищуєш точки відновлення, тому що саме звідси вірус сам себе відновлює після очищення.

відновити

відновити

відновити

6. Потім накочує патч KB4012212, тим самим закриваючи мережеву вразливість MS17-010 7. Включаєте в мережу та встановлюєте (або оновлюєте) антивірусне програмне забезпечення.

Ось у принципі і все, як я боровся з вірусом Wanna Cry.