Восстановление зашифрованных и сжатых данных. Восстановление файлов после вируса-шифровальщика Восстановление файлов после вируса wanna cry

Ищите программу для восстановления поврежденных файлов? После восстановления удаленных данных нужные файлы не открываются или открываются с сообщением об ошибке? Не знаете, как восстановить структуру поврежденных фотографий?

Восстановите поврежденные файлы программой

Воспользуйтесь программой для восстановления поврежденных данных RS File Repair. Программа быстро исправит ошибки в структуре файлов и восстановит их в исходном виде. Пошаговый мастер восстановления и интерфейс в стиле проводника MS Windows делает работу с утилитой легкой и понятной, не требующей специальных навыков. Благодаря этому каждый пользователь сможет быстро найти и восстановить нужные файлы даже после серьезных повреждений.

Скачать Регистрация Скриншоты

С помощью RS File Repair вы можете «исправить» файлы двумя способами.

Если вы восстанавливаете данные с помощью мастера, то вы сможете работать сразу с несколькими файлами, даже если они находятся в разных папках. Программа устранит повреждения и сохранит файлы в выбранную вами папку.

Если же вы не используете мастер при восстановлении поврежденных файлов, то вам будет доступна функция предварительного просмотра, и вы сможете просмотреть исправленные файлы перед сохранением.

Восстановление поврежденных файлов с помощью мастера

Чтобы воспользоваться удобным пошаговым мастером для исправления и сохранения поврежденных файлов, выберите пункт «Мастер» в меню «Файл».

В каждом новом окне мастера вы найдете подробные пошаговые инструкции, которые помогут вам легко восстановить поврежденные файлы. Если каждый раз при запуске программы вы желаете начинать работу с мастером, воспользуйтесь опцией «Отображать мастер при запуске программы».

В окне «Выбор файлов» нужно указать поврежденные файлы, которые вы хотели бы исправить и сохранить. Здесь вы можете добавить в список восстанавливаемых любое количество файлов из различных папок, удалить файлы из списка или полностью очистить список. Также вы можете выбрать способ отображения списка выбранных файлов («Значки», «Список», «Таблица») и воспользоваться сортировкой файлов.

Затем выберите тип анализа восстанавливаемых данных. В большинстве случаев достаточно будет воспользоваться функцией «Анализ», которая позволяет быстро устранить повреждения логической структуры файлов.

Второй тип обработки данных – «Исследование» – используется, если необходимо более подробно проанализировать структуру файла. Это занимает гораздо больше времени, но позволяет восстанавливать даже сильно поврежденные данные благодаря сохранению максимального объема информации исходных файлов.

В следующем окне мастер предложит вам выбрать путь сохранения восстановленных данных (папку, в которую они будут сохранены), а также определить еще некоторые принципы сохранения исправленных файлов на выбранном носителе.

Восстановление поврежденных файлов с предварительным просмотром

Если вы решили «вручную», без использования мастера, выберите в левой части главного окна программы папку, в которой находятся нужные вам файлы. Справа отобразится все содержимое директории, и вы сможете выбрать в ней нужные файлы.

Если файл поврежден, программа не сможет отобразить его содержимое. Для восстановления его структуры воспользуйтесь меню «Файл»-«Анализ» или «Файл»-«Исследование» главного меню программы. После выполнения данных функций файлы будут доступны для предварительного просмотра.

Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .

1. Удалить вирус-шифровальщик

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу . После окончания загрузки запустите скачанный файл.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

И последнее, выберите папку в которую будет скопирован восстановленный файл.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика . К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.

I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry !! pic.twitter.com/QiB3Q1NYpS

Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного бага в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской малвари. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.

Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей – публичный, который используется для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.

После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.

Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.

«Если вам повезет, вы сможете получить доступ к этим областям памяти и восстановить ключ. Возможно, он все еще будет там, и вы сможете использовать его для расшифровки файлов. Но это срабатывает не во всех случаях», - пишет исследователь.

Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.

Другие эксперты уже подтвердили , что в теории инструмент Гинье должен работать. Так, известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green), пишет, что способ должен работать, хотя в текущих обстоятельствах все это больше похоже на лотерею. Еще один известный специалист, сотрудник компании F-Secure, Микко Хайппонен (Mikko Hypponen) задается вопросом «зачем использовать для уничтожения ключей функцию, которая не уничтожает ключи?», однако соглашается с тем, что баг можно попытаться использовать для восстановления зашифрованных файлов.

Вирус Petya – требование выкупа для расшифровки

Через несколько часов после начала атаки в DATARC поступило первое обращение и мы проанализировали несколько пораженных серверов. Главный вывод: есть ненулевая вероятность восстановления данных при атаке вируса Petya – вирус часто повреждает файловую систему, но не шифрует данные.

На данный момент проанализированные повреждения можно разделить на категории.

Возможно 100% восстановление данных

Вероятно, в вирусе есть ошибки – он не всегда выполняет свой алгоритм, не успевает зашифровать данные, ломает загрузчик. Мы видели такие варианты повреждений:

1. Данные не зашифрованы, поврежден MBR
2. Данные не зашифрованы, поврежден MBR + NTFS bootloader
3. Данные не зашифрованы, поврежден MBR + NTFS bootloader + MFT – диск определяется как RAW

Восстановление данных возможно, потери больше 0%

В тех случаях, когда шифрование происходит, часть файлов может остаться неповрежденной. Мы видели такие варианты повреждений:

1. Шифруется только диск C: – остальные логические диски остаются в порядке
2. Шифруются не все файлы на диске C:
3. Шифруется только запись MFT, содержимое файла остается без изменений.

Расшифровка от старой версии не работает

Текущая версия Petya – это (предположительно) продолжение атаки 2016 года (см https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ и https://securelist.com/petya-the-two-in-one-trojan/74609/). Для старой версии была создана методика подбора ключа расшифровки (см https://github.com/leo-stone/hack-petya). Вирус 2017 года был изменён и старая методика не работает.

Например, в старой версии вируса MBR сохранялся в сектор 55 и “шифровался” XOR 0x37. В новой версии MBR сохраняется в сектор 34 и “шифруется” XOR 0x07.

Зашифрованный MBR:

Расшифрованный MBR:

Вирус Petya – MBR после расшифровки

Что делать, если компьютер заражен

Восстановление скрытых файлов после вируса — это распространенная проблема, с которой приходится сталкиваться пользователям ПК. В последнее время многие страдают от вредоносных программ, из-за которых пропадают все файлы и папки на жестком диске, включая персональный контент вроде документов, изображений и т.д. Вредоносное ПО может спрятать и все ярлыки в меню Start. Вирус не удаляет данные, но добавляет скрытый атрибут ко всем файлам и папкам в вашей системе, и в результате это выглядит так, как будто все данные были удалены с жесткого диска.

Если вам нужно провести восстановление файлов после вируса, можно воспользоваться приведенной ниже инструкцией, чтобы снова отобразить все данные, которые пропали, и вернуть контроль над своим компьютером. В случае, когда операционная система все еще заражена вредоносными программами, нужно использовать антивирусы. После удаления вирусов можно приступать к выполнению действий для отображения файлов и папок, которые исчезли. Чтобы отобразить исчезнувшие файлы необходимо изменить системные настройки Windows.

Как отобразить скрытые файлы

Если у вас установлена операционная система Windows XP, можно произвести восстановление данных, которые пропали, путем выполнения следующих действий:

• открыть My Computer;
• выбрать Tools;
• нажать на Folder Options;
• выбрать вкладку View;
• установить флажок напротив опции Show Hidden Files and Folders;
• нажать OK для возврата пропавших данных с жесткого диска или флэшек.

Чтобы восстановить данные, которые пропали на Windows Vista, нужно выполнить такие шаги:

• нажать кнопку Start;
• выбрать Computer;
• нажать на Tools;
• выбрать Folder Options;
• использовать кнопку View;
• выбрать опцию Show Hidden Files and Folders;
• нажать OK.

Если вас интересует, как восстановить спрятанные файлы на Windows 7, нужно выполнить следующие действия:

• нажать кнопку Start;
• выбрать Computer;
• нажать Organize;
• использовать кнопку Folder and Search Options;
• выбрать View;
• активировать опцию Show Hidden Files and Folders;
• нажать OK.

После выполнения вышеуказанных действий вы сможете увидеть все свои файлы и папки для офисных программ и других приложений, но они все еще будут содержать скрытый набор атрибутов. Если удалить лишние параметры для файлов на флешке или жестком диске, то все они будут отображаться в нормальном режиме.

Как удалить скрытые атрибуты

Если используется операционная система Windows XP, нужно осуществить такие шаги:

1. Нажать Start и Run.
2. Ввести cmd и нажать Enter.
3. В командной строке набрать CD \ и подтвердить клавишей Enter.
4. Ввести ATTRIB -H *.* /S /D и нажать Enter. Эта команда отобразит файлы, которые стали невидимыми. Поскольку важные системные файлы имеют соответствующий прикрепленный атрибут, вышеуказанная команда на них не подействует. Системные настройки пропускают их и скрывают от посторонних глаз, так что самое важное содержимое не будет потеряно. Выполнение команды займет некоторое время, так что не стоит переживать, если процесс затянется на несколько минут или даже на полчаса. Команда выполнит простые действия — удалит скрытые атрибуты из всех каталогов на жестком диске и папок на флешке после вируса. Параметр /S означает, что будет выполняться поиск текущей папки и всех ее подкаталогов. Параметр /D обрабатывает все остальные папки.

Для Windows Vista или 7 нужно выполнить следующие действия:

1. Нажать Start и All Programs.
2. Выбрать Accessories и Find Command Prompt.
3. Нажать правой кнопкой мыши на опции Command Prompt и выбрать Run as Administrator.
4. В командной строке ввести CD \ и нажать Enter.
5. Теперь в командной строке должна быть указана корневая папка жесткого диска (вероятно, C:\).
6. Ввести ATTRIB -H *.* /S /D и нажать Enter.
7. Ввести Exit и нажать Enter, когда процедура будет завершена. Перезагрузить компьютер.

В качестве альтернативы можно использовать приложение Unhide, созданное Bleeping Computer. Это программа для восстановления скрытых файлов с флешки и жесткого диска. На официальном сайте этого разработчика есть целый учебник по использованию unhide.exe для удаленных данных после вирусного вторжения. С его помощью пользователи получали необходимую информацию и успешно восстанавливали свои ПК. Можно загрузить это приложение для скрытых папок и файлов на свой рабочий стол и запустить его, чтобы вышеуказанные шаги по удалению атрибутов с флешки после вируса были выполнены системой автоматически.

Устранение проблем с ярлыками на панели задач и в меню Start

Для отображения ярлыков на панели задач и в меню Start после вирусной атаки нужно выполнить следующие действия:

1. Открыть Computer.
2. Перейти в Drive C, Users, Your User Name, AppData, Local, Temp, SNTMP или SMTMP.
3. Открыть каталог с цифрой 1.
4. Выбрать Edit, Select All и Copy.
5. Оставить каталог открытым и снова перейти в My Computer.
6. Выбрать Drive C, Program Data, Microsoft, Windows, Start Menu.
7. Нажать Edit и Paste, чтобы скопировать папку Programs и другие ярлыки в соответствующее место.
8. Открыть каталог с цифрой 3.
9. Выбрать все файлы и скопировать их.
10. Перейти в Drive C, Users, Username, AppData, Roaming, Microsoft, Internet Explorer, Quick Launch, User Pinned, Taskbar и вставить файлы.

После выполнения вышеуказанных действий все ярлыки должны вернуться на свои места.