- Bad Rabbit і тіньові копії файлів
- Як відновити файли зашифровані BadRabbit
- Відновлення зашифрованих файлів за допомогою Shadow Explorer
Як відновити файли після шифрувальника Bad Rabbit?
Хороші новини для тих хто постраждав від шифрувальника Bad Rabbit . Через невеликі помилок з боку авторів шкідливої програми, знайшовся спосіб відновити зашифровані кріптовимогателем Bad Rabbit файли.
Інформація про помилку була опублікована в сьогоднішньому звіті Kaspersky «Поганий кролик». Дослідники говорять, що їм вдалося виявити дві помилки BadRabbit, які можуть бути використані для розшифровки зашифрованих файлів.
Ще по темі: Як визначити шифрувальник
Bad Rabbit і тіньові копії файлів
З'ясувалося, що вірус-шифрувальник Бед Раббі не видаляти тіньові копії файлів. Це технологія операційної системи Windows, яка створює моментальні знімки файлів під час використання.
Оскільки кріптовимогатель працює, створюючи копію файлу, шифруючи її і видаляючи оригінал, все зашифровані файли знаходяться в точці «у використанні», а тіньова копія створюється на диску в «попередні версії файлу». Ці тіньові (невидимі) файли зберігаються на диску протягом невизначеного періоду часу на основі вільного місця.
Більшість вірусів-вимагачів видаляють тіньові томи, щоб не допустити відновлення зашифрованих файлів зі збережених оригінальних копій, незашифрованих файлів, але той, хто створив шифрувальник BadRabbit, не створив модуль для видалення цих файлів.
Для видалення тіньових копій Windows шифрувальники як правило використовують команду:
C: \ Windows \ Sysnative \ vssadmin.exe "Delete Shadows / All / Quiet
Метод відновлення за допомогою тіньових копій не гарантують, що постраждалі від вимагача користувачі зможуть повернути всі свої файли, але це, по крайней мере, допоможе відновити деякі зашифровані документи.
Як відновити файли зашифровані BadRabbit
Відновити файли після шифрувальника з тіньових копій можна різними способами, але особисто я віддаю перевагу програму ShadowExplorer. Використання цього методу в порівнянні з іншими робить процес відновлення набагато легше, так як має дуже простий і зрозумілий інтерфейс.
Завантажити ShadowExplorer можна з офіційної сторінки по цим посиланням .
Bad Rabbit дешифратор. програма ShadowExplorer
Існують дві версії програми: портабельная (не вимагає установки) і звичайна. Ви можете використовувати будь-яку, так як їх можливості однакові. Особисто я віддаю перевагу Портабельная версії програм.
Відновлення зашифрованих файлів за допомогою Shadow Explorer
Як тільки ви завантажте і запустіть ShadowExplorer, на екрані з'явиться список всіх дисків і дати створення тіньових копій.
Виберіть диск (синя стрілка), з якого ви хочете відновити файли або папки, і дату (червону стрілку), з якої ви хочете відновити.
Bad Rabbit дешифратор. Вибір логічного диска в ShadowExplorer
Потім перейдіть до папки або файлів, які ви хочете відновити. Виберіть файл або папку і правим кліком мишки викличте контекстне меню в якому виберіть пункт «Експорт», як показано нижче.
Відновлення зашифрованих файлів. Експорт файлу за допомогою Shadow Explorer
Коли ви натиснете «Експорт», ShadowExplorer відобразить вікно з пропозицією відновлення файлів.
Перейдіть до папки або створіть нову для відновлення файлів і натисніть кнопку «ОК». ShadowExplorer відновить файли.
Провідник Shadow Explorer
Можна обійтися і без програми Shadow Explorer засобами самої Windows. Але використовувати цю утиліту для роботи з тіньовими копіями набагато простіше.
До речі, таким способом можна відновити файли зашифровані і іншими шифрувальником, такими як Cerber і т.д.
У цій статті ми не розглянули ще один спосіб лікування зашифрованих файлів Bad Rabbit. Він досить складний і звичайному користувачеві не під силу. Про нього ми розповімо вже в окремій статті.
На майбутнє, перед запуском всіх файлів, що скачали рекомендую не сподіватися на встановлений антивірус, а використовувати онлайн перевірку файлу на віруси . Така перевірка має більше шансів виявити шкідливе ПЗ.
А на сьогодні все. Маю велику надію, що вам допомогла ця стаття і вам все ж вдалося відновити зашифровані вірусом файли.