Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.
Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:
Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.
Оригинал статьи.
Далеко не всегда необходимо устанавливать дополнительные сторонние программы в Windows 7, чтобы восстановить удаленные данные или данные которые подверглись перезаписи. Семерка позволяет сделать это собственными средствами. Если вы по неосторожности удалили или перезаписали файлы, предположим документы Microsoft Office или семейные фотографии и хотите их восстановить или вернуть к первоначальному состоянию, то не спешите устанавливать для этой процедуру специально ПО.
Восстановление данных Windows 7 возможно средствами самой системы, для этого разработчики Microsoft добавили в эту версию операционной системы удобный и простой в использовании инструмент – теневые копии (Volume Shadow Copy Service, сокращенно VVS). C помощью теневых копий можно быстро, всего парой кликов мышкой, реанимировать удаленные или перезаписанные файлы, хранящиеся на жестком диске вашего компьютера.
Не стоит путать теневые копии с полной резервной копией Windows 7. Это инструмент не заменяет полноценное резервное копирование, а всего на всего хранит дубликаты тех файлов, которые подверглись изменению или были удалены. В “семерке” данный инструмент работает по принципу точек восстановления. Все вы наверное знаете об этих точка, с помощью которых можно откатить систему на определенный момент. Так вот, функция VVS создает теневые копии данных, например перед обновлением ОС. Это очень удобный инструмент восстановления данных Windows 7, но только в том случае, если вы случайно удалили и перезаписали файлы. Volume Shadow Copy Service может восстановить до шестидесяти четырех предыдущих копий каждого удаленного, или измененного файла.
Восстановление файлов с помощью теневых копий Windows 7
Чтобы приступить к восстановлению файлов из теневых копий, выполните следующие действия. Щелкните правой клавишей мыши по нужному файлу, или каталогу, в котором находятся данные для восстановления. Затем, в открывшемся контекстном меню выберите пункт “Свойства”, затем перейдите во вкладку “Предыдущие версии”. Если теневые копии для файла или папки имеются в системе, то вы увидите их список. К сожалению мы не смогли найти в нашей системе теневых копий файлов, так как она практически свежая, то есть установленная специально для сайта сайт.
Чтобы восстановить файл из нужной копии, достаточно просто кликнуть по нему два раза левой кнопкой мыши, и он будет восстановлен.
Стоит отметить, что пользователь может настроить данный инструмент. Например, вы можете сами определить место хранения на жестком диске теневых копий файлов. Кроме того, нажав сочетание клавиш “Win+Pause” и перейдя в раздел “Защита системы” вы можете указать Windows 7 защищать диски или разделы жесткого диска и определить для каждого из них количество памяти, которой ОС может воспользоваться для этого.
Важно: Данная статья предназначена для случая, когда на компьютере настроено стандартное резервное копирование в Windows 7.
Восстановление файлов из теневых копий Windows
Вы когда-нибудь обнаруживали, что нужный вам файл был удален? Что прошло какое-то время и файл куда-то исчез? Конечно, причин тому может быть много. Но, обычно в такие моменты, первым делом больше волнует другой вопрос, нежели причина, - "Как его теперь восстановить?". Если вы постоянный читатель сайт, то, вероятно, у вас установлены и настроены программы для резервного копирования , которые позволят восстановить пропавший файл.
Но, что делать если у вас нет таких программ, или уже слишком поздно для восстановления, так как программа синхронизировала копию с оригиналом и стерла этот файл. Что тогда? Конечно, у вас все еще остается возможность использовать программы для восстановления удаленных файлов, но, обычно, это достаточно длительная процедура, к которой стоит обращаться уже только тогда, когда других вариантов не осталось. Так с чего стоит начать?
Если у вас настроено стандартное резервное копирование Windows через интерфейс "Архивация и восстановление" (см. ссылку), или же вы создавали точки восстановления, то у вас еще остается возможность относительно быстро восстановить удаленный файл. Дело в том, что Windows 7 создает, так называемые "теневые копии" файлов, которые доступны из интерфейса "предыдущие версии". Эти теневые копии хранят не одну копию файла, а несколько его предыдущих версий. Именно этот факт и позволяет воспользоваться следующими двумя способами.
Восстанавливаем удаленный файл из теневой копии родительского каталога в Windows
- Выполните процедуру, описанную в предыдущей статье (по этой ссылке), чтобы открыть список предыдущих версий для папки, которая содержала удаленный файл
- Выберите предыдущую версию каталога так, что бы вы были уверены, что файл точно находился в данный момент в каталоге. В противном случае вам придется перебирать версии до первой удачной
- Вы можете нажать кнопку "Копировать", чтобы сохранить всю копии папки, и уже из нее восстановить удаленный файл. Если вы нажали кнопку, то появится диалоговое окно, в котором необходимо указать место для сохранения. Но, вы должны понимать, такая операция может занять время, если каталог занимает много места
- Вы так же можете нажать кнопку "Восстановить", чтобы все файлы в папке откатились до выбранной версии. Но, учтите, что это чревато изменением других файлов
- Если вас не устраивают оба предыдущих варианта, то вы можете нажать на кнопку "Открыть", и вам откроется весь список файлов выбранной резервной копии. Вы можете перетащить или скопировать удаленный файл туда, куда вам потребуется
- После того, как вы восстановите файл одним из способов, закройте диалоговое окно
Восстанавливаем удаленный файл из теневой копии по его имени в Windows
- Создайте пустой файл с таким же именем и расширением, как было у удаленного файла, и поместите его в исходном каталоге. Содержимое файла не имеет значения
- Щелкните правой кнопкой мыши на пустом файле
- В контекстном меню, выберите пункт "Свойства"
- Перейдите на вкладку "Предыдущие версии"
- Если повезет, то перед вами появиться весь список резервных копий удаленного файла. В данном случае, все зависит от обстоятельств
- Выберите нужную резервную копию (вероятно, самую последнюю) и нажмите кнопку "Восстановить"
- Закройте диалоговое окно
Оба этих способа можно использовать. Единственно, вы должны понимать, что восстановленный файл не обязательно будет самой последней версии, так как резервное копирование происходит не постоянно, а в определенные моменты времени.
- Не устанавливаются обновления (хотфиксы) Windows? Утилита очистки и восстановления фреймворка.Net может помочь
Технические советы
Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.
Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.
Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:
Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.
Оригинал статьи.
Если вы случайно удалили файл или папку мимо корзины, не впадайте в панику. Программы для восстановления данных от вас никуда не денутся, поэтому попробуйте сначала средства системы. В Windows можно восстановить предыдущие версии файлов и папок, даже если в графическом интерфейсе этой возможности нет.
В Windows 8 в свойствах дисков, папок и файлов стало на одну вкладку меньше. Обратите внимание, что пропали предыдущие версии.
Это наблюдается только в клиентской операционной системе, т.е. в Windows Server 2012 вкладка осталась. В Windows 10 вкладка вернулась, но… вам надо прочесть статью:)
Статья обновлена в контексте Windows 10.
Сегодня в программе
Предыдущие версии в Windows 10
Статья была написана во времена Windows 8, а в Windows 10 вкладка «Предыдущие версии» вернулась в свойства папки. Тем не менее материал актуален для Windows 10, потому что в нем демонстрируются способы восстановления файлов напрямую из теневых копий.
В Windows 10 на вкладке написано, что предыдущие версии образуются из истории файлов и теневых копий. Для начала нужно учитывать, что в Windows 10 защита системы по умолчанию отключена, поэтому при стандартных настройках предыдущие версии доступны только из истории файлов, если она включена, конечно.
Более того, мой эксперимент в Windows 10 версии 1511 (и позже в 1709) показал, что на вкладке отображаются только версии из истории файлов, даже если защита системы включена!
На этой картинке:
- Свойства папки скриншотов в ОС. Последняя версия от 27 февраля. Вероятно, это дата последнего копирования в историю файлов, которая у меня сейчас не работает (диск отключен физически)
- Последняя теневая копия от 11 мая (появилась при создании точки восстановления перед установкой обновлений WU), создаю символическую ссылку на п.3
- Содержимое теневой копии. Видно, что в ней есть файлы, созданные незадолго до появления теневой копии от 11 мая. Однако они отсутствуют в п.1
Таким образом, лучший шанс восстановить предыдущие версии у вас есть в том случае, если включена история файлов. Тогда версии доступны на вкладке в свойствах папки или в интерфейсе истории файлов. В противном случае должна быть включена защита системы, и при необходимости вам придется добираться до теневых копий способами, описанными ниже в статье.
Как работают предыдущие версии, и почему убрали вкладку в Windows 8
Такая картина в свойствах файлов и папок является лишь следствием того, что в параметрах защиты системы Windows 8 теперь нет опции восстановления файлов.
Сразу скажу, что отсутствие точки входа в графическом интерфейсе не означает отсутствия технологии в системе. Предыдущие версии файлов все равно доступны! Поэтому все сказанное ниже полностью применимо к Windows 8, а описание технологии относится и к Windows 7.
Почему же убрали опцию защиты файлов и вкладку предыдущих версий? У меня нет точного ответа, но есть обоснованные предположения, которыми я поделюсь с вами, заодно объяснив принцип работы предыдущих версий.
Во многих системах на этой вкладке всегда было пусто
Это заставляло тысячи людей озадачивать форумы сообщества и поддержку Microsoft наболевшим вопросом. Но вы-то уже догадались, в чем была их проблема, не так ли? У этих людей была полностью отключена защита системы!
Людям был непонятен принцип хранения и отображения предыдущих версий
Действительно, почему для одних папок есть несколько версий, а для других – ни одной? Дело в том, что разные редакции файлов в этих папках могли быть созданы только не раньше самой старой точки восстановления.
Согласитесь, при взгляде на вкладку не совсем очевидно, что сохранение версий личных документов и медиа-файлов привязано к созданию точек восстановления (хотя это описано в справке Windows, пусть и не без огрехов).
О точках принято думать как о средстве отката системных параметров, тем более что личные файлы при этом не восстанавливаются (за исключением этих типов файлов).
Между тем, точки восстановления и предыдущие версии файлов (не относящиеся к истории файлов) хранятся в одном месте – теневых копиях тома.
Механизм восстановления системы попросту делает снимок тома в нужное время и сохраняет его в теневой копии. Именно пространство, выделенное для теневых копий, вы контролируете в параметрах защиты системы.
Теперь становится понятно, почему количество версий у файлов и папок может варьироваться. Состояние файла записывается на момент создания точки восстановления. Если между точками он изменялся, в теневой копии сохраняется его версия. Если же файл оставался неизменным в период, охваченный точками восстановления, у него вообще не будет предыдущих версий.
В Windows 8 появилась история файлов
Когда понятен принцип применения технологии, из нее можно извлечь пользу. В Windows 7 это было непонятно большинству людей, поэтому в Windows 8 внедрили более наглядную систему резервного копирования данных – историю файлов .
Она не опирается на теневые копии, а количество версий файлов вы можете контролировать, указав частоту резервного копирования. Все зависит от ваших нужд и места на целевом диске.
Вкладку же доступа к «непонятным» предыдущим версиям в Windows 8 просто убрали, вместе с сопутствующей опцией в параметрах защиты системы. Что же касается ИТ-специалистов, то они должны быть хорошо знакомы с понятием теневых копий – ведь в серверных ОС для управления ими есть одноименная вкладка в свойствах тома. Потому в Windows Server 2012 вкладка «Предыдущие версии» находится на своем привычном месте.
В Windows 8+ точки восстановления создаются по особому алгоритму , а вместе с ними сохраняются предыдущие версии ваших файлов и папок. Дальше я расскажу, как их открыть.
Как открыть предыдущие версии файлов и папок из теневых копий
Ниже два способа, которые сработают в случае, если у вас включена защита системы. Первый подходит для всех поддерживаемых Windows и будет полезен, если у вас не включена история файлов. Второй способ имеет смысл лишь в Windows 8/8.1 с учетом замечания о Windows 10 в начале статьи.
Способ 1 — символическая ссылка в теневые копии (Windows 7 и новее)
Постоянные читатели блога уже видели этот трюк в статье про функцию обновления ПК без удаления файлов (Refresh Your PC). Она тоже использует теневые копии для промежуточного сохранения диска, когда вы создаете свой образ для отката.
Тогда мне этот фокус был нужен для понимания технологии, зато теперь он вам может понадобиться для решения вполне конкретной задачи. В командной строке, запущенной от имени администратора , выполните:
Vssadmin list shadows
Вы увидите список теневых копий на всех томах. Для каждой из них указана буква диска, поэтому вам будет легко сориентироваться. Кроме того, каждая теневая копия соответствует по дате одной из точек восстановления (чтобы вывести их список, выполните в консоли rstrui ).
Выберите нужную дату и скопируйте идентификатор тома теневой копии. Теперь используйте его во второй команде (не забудьте добавить обратный слэш в конце):
Mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\
В корне системного диска у вас уже появилась символическая ссылка shadow , ведущая в теневую копию! Перейдя по ссылке, вы увидите знакомую структуру файлов и папок – это и есть их предыдущие версии.
Способ 2 — вход в общий диск по сети (Windows 8 и 8.1)
Добавлено 15.01.2013 . В комментариях читатель Алексей поделился более простым способом доступа к теневым копиям по сравнению с описанным в статье изначально. Сначала способ работал, но позже Microsoft закрыла лазейку каким-то из обновлений. Однако читатель Ника в итоге подсказал обходной путь.
Сначала нужно сделать диск общим, а потом зайти в него «по сети». В окне «Этот компьютер» откройте «Сеть» и зайдите на свой ПК, либо под учетной записью администратора вставьте сетевой путь в адресную строку проводника или в окно «Выполнить»:
\\%computername%\C$
где C — буква желаемого диска. В сетевых папках вкладка «Предыдущие версии» присутствует:
Поскольку я несколько раз прибегал к извлечению данных из теневых копий, мне немного жаль потери в графическом интерфейсе. Ведь вкладка «Предыдущие версии» была удобна тем, что сразу позволяла добраться до нужных файлов.
Впрочем, я уж не настолько часто пользовался этой возможностью, чтобы ввод двух команд в консоль доставлял мне жуткие неудобства. Ведь главное – это наличие предыдущих версий файлов, а добраться до них я смогу! Теперь сможете и вы;)
А вам хоть раз доводилось восстанавливать предыдущие версии файлов из теневых копий? Расскажите в комментариях, почему возникла необходимость и удалось ли все восстановить.
Я все-таки думаю, что большинство читателей ни разу не прибегали к этой возможности на домашних системах, а посему ее исчезновение из графического интерфейса их не слишком расстроит. В следующей записи мы поговорим о том, почему различные функции Windows исчезают или подвергаются изменениями, и как вы можете повлиять на ситуацию.