Восстановление данных после вируса шифровальщика

Восстановление данных после вируса шифровальщика

Восстановление данных после вируса-шифровальщика – проблема, с которой сегодня встречается множество пользователей ПК. Шифровальщики за последние годы получили большое развитие, встречается более двух десятков их вариаций, каждый характеризует определенный подход к шифрованию информации на компьютере. Создатели вируса, конечно, предлагают выход из сложившейся ситуации – обычно он заключен в выплате по указанным реквизитам определенной суммы, при этом весьма значительной (от 300$ и выше). Учитывая, что собственные файлы можно расшифровать даже самостоятельно, платить мошенникам за их “услугу” будет не самым лучшим выходом.

Если вы столкнулись с такой ситуацией, не стоит разводить панику – прежде нужно попробовать все существующие методики для восстановления данных после вируса.

Что делать с «невидимостью» файлов

❶ Включаем отображение скрытых файлов

И так, первое, с чего рекомендую начать — это настроить проводник так, чтобы он стал отображать все скрытые и системные папки и файлы.

Как это сделать:

1. нажмите сочетание кнопок Win+R (должно появиться окно “Выполнить”);
2. введите команду control folders и нажмите OK. Если у вас не сработала эта команда (вдруг?), воспользуйтесь вторым способом, его привел чуть ниже.

control folders – открываем параметры проводника

далее откройте меню “Вид” , и в дополнительных параметрах в подразделе “Скрытые файлы и папки” передвиньте ползунок в режим “Показывать скрытые файлы, папки и диски” . Дополнительно также снимите галочки с пунктов скрытия защищенных системных файлов, и расширений. Нажмите OK.

Параметры проводника – теперь будут видны скрытые папки

Кстати, также открыть настройки проводника можно с помощью 👉 панели управления Windows: переключите отображение в “мелкие значки” , и выберите “Параметры проводника” . См. пример ниже.

Параметры проводника (как в них еще можно войти)

❷ Выбор альтернативы проводнику (Far Manager)

Вообще, я бы порекомендовал к проводнику иметь еще какой-нибудь файловый коммандер (менеджер). Их довольно-таки много, но мне лично импонируют два: Total Commander и Far Manager.

Второй, на мой взгляд, как нельзя лучше подходит, когда возникают разного рода проблемы, например:

• если в каталоге очень много файлов, и проводник зависает – Far без труда войдет в него и поможет найти или удалить лишние файлы;
• легко и быстро можно изменить атрибуты любых файлов (Far видит всё);
• при запуске старых программ, которым необходимо передать через командную строку определенные параметры.

FAR Manager

Главное окно FAR

Многих пользователей отпугивает внешний вид этого файлового менеджера (но повторюсь, по возможностям он не уступит тому же Total Commander!).

К “синим” колонкам быстро привыкаешь, и они становятся как “родные” (могу ошибаться, но сейчас ему легко можно поменять внешний вид).

👉 Теперь о том, что делать в Far для того, чтобы скрытые файлы сделать отображаемыми:

открываете Far и жмете сочетание кнопок ALT+F1 — должно появиться небольшое окно с выбором диска;

Far. Выбираем диск

Примечание : все сочетания кнопок я привел для Far v.3, используемые по умолчанию.

❸ Проверка флешки на ошибки

Если даже Far не “увидел” данных на флешке, возможно стоит проверить ее на ошибки (например, если вы неправильно отключили флешку из USB-порта, такое вполне могло произойти, или ПК/ноутбук выключился во время копирования на нее информации).

Провести проверку можно штатными средствами Windows. Для этого, необходимо открыть 👉 “Этот компьютер” (“Мой компьютер”) и щелкнуть правой кнопкой мышки по вашей флешки: в появившемся меню выбрать “Свойства” . (👇)

Далее откройте вкладку “Сервис” и нажмите по кнопке “Проверить” (понадобятся администраторские права).

Сервис – проверить флеш-диск на ошибки

Альтернативный вариант проверки флешки с помощью командной строки — инструкция

После чего согласитесь на проверку диска (кстати, Windows может сразу же сообщить, что на нем она обнаружила ошибки, как в моем случае).

Мы обнаружили ошибки на этом диске. Проверить его!

По завершению проверки файловая система флешки будет восстановлена.

Среди новых папок на накопителе может появиться “FOUND.000” — в ней будут восстановленные файлы (для их чтения воспользуйтесь утилитой unCHKfree, например).

Но как правило, в большинстве случаев, после проверки — флешка начинает работать в нормальном режиме, и копаться с “FOUND.000” нет особого смысла.

❹ Проверка флешки антивирусным продуктом

Если у вас есть штатный классический антивирус в системе — проверьте им.

Если классического антивируса в системе нет, рекомендую воспользоваться каким-нибудь онлайн-сканером. О лучших из них я 👉 высказывался здесь.

Как проверить флешку на вирусы и очистить ее — инструкция

Лично мне импонирует ESET Scaner (небольшой вес программы, вкупе с мощными фильтрами сканирования, не оставляют шансов большинству вирусов).

Покажу ниже, как проходит проверка в ESET Scaner. После загрузки и запуска антивирусного модуля (а он весит всего несколько мегабайт), рекомендую включить обнаружения потенциально опасного ПО, и задать настройки сканирования (цифра 2 на скрине ниже).

ESET Scaner – выключаем обнаружение опасного ПО

Далее желательно выбрать оперативную память, загрузочный сектор, системный диск с Windows (обычно это “C:”. Если что – такой диск помечен значком Windows), и саму флешку. После чего можно приступить к сканированию.

Выбор накопителя для сканирования

Время сканирования зависит от выбранных дисков в предыдущем шаге, от размера вашей флешки и количества файлов на ней. Рекомендую дождаться до окончательного завершения процесса.

Идет проверка ПК – просто ждем результатов

Если будут обнаружены вирусы, не лишним будет прогнать систему еще несколькими антивирусными продуктами. См. ссылку на заметку ниже!

Как удалить вирусы с компьютера, если антивирус их не видит. Рекомендую!

❺ Если информация с накопителя была удалена

Если данные на флешке были случайно вами удалены (либо это сделал вирус, либо ошибочно отформатировали накопитель) — не спешите отчаиваться!

Скорее всего, большую часть информации удастся восстановить . Главное, отключите флешку от ПК/ноутбука, и ничего на нее не копируйте!

После, на компьютер необходимо установить 👉 спец. утилиту для восстановления файлов (R.Saver, например) и просканировать ей накопитель.

Подробно о том, как это сделать — рассказано в двух моих предыдущих инструкциях:

1. восстановление удаленных файлов (фото, картинки, тексты и пр.) с USB-флешек и SD-карт — 👉 https://ocomp.info/kak-vosstanovit-foto-s-sd-karty.html
2. восстановление удаленных файлов с дисков, флешек и пр. — 👉 https://ocomp.info/kak-vosstanovit-udalennyie-faylyi.html

Несколько вариантов восстановления (кликабельно) / утилита R.Saver нашла удаленные данные на SD-карте

Важно: сохранять восстанавливаемые файлы нужно на жесткий диск компьютера (на эту же самую флешку нельзя!).

❻ Если после подключения флешки — ПК зависает, появл. ошибки «отказано в доступе» и т.д.

Этот спектр проблем я вынес в отдельный раздел статьи. Возникать они могут как в случае физического повреждения накопителя (например, после падения с высоты 👇), так и каких-то серьёзных ошибок.

Пример поврежденной флешки

Так как подобная тема достаточно обширна — то в одной своей предыдущей спец. заметке я “собрал” в кучу все возможные типовые проблемы подобного рода. Ссылка на нее ниже.

Как восстановить флешку: ремонт своими руками — см. пошаговую инструкцию

Если вы решили вопрос как-то иначе — дайте знать в комментариях! Дополнения всегда приветствуются.

Первая публикация: 17.05.2018

Корректировка заметки: 17.08.2020

Программа для восстановления данных – Recuva

Программа Recuva разработана специалистами из Англии, которые задались целью создать качественное, быстрое и интуитивно понятное приложение для восстановления информации на внешних и внутренних накопителях компьютера. Для домашнего использования программа бесплатна, а скачать ее можно с официального сайта разработчиков, что позволяет избежать попадания на компьютер вирусов.

Программа Recuva работает на любых операционных системах (при установке соответствующей версии). Она показывает себя эффективно с файловыми хранилищами, которые отформатированы под NTFS, FAT 32, Apple HFS+, Linux ExtFS и другие форматы. Работает утилита не только с флешками, но и с жесткими дисками или SD-картами любого форм-фактора. За счет этого Recuva можно назвать универсальной программой для восстановления данных, работать с которой должен уметь любой продвинутый пользователь.

Восстановление данных после действия вирусной атаки с помощью программного обеспечения

Для надежного восстановления файлов, удаленных вирусами, используйте Magic Partition Recovery. Программа использует прямой низкоуровневый доступ к диску. Следовательно, она обойдет вирусную блокировку и прочитает все ваши файлы.

Загрузите и установите программу, затем проанализируйте диск, флешку или карту памяти. После анализа программа отобразит список папок, находящихся на выбранном диске. Выделив необходимую папку слева, можно просматривать её содержимое в правой части.

Таким образом, программа предоставляет возможность просматривать содержимое диска так же, как в стандартном проводнике Windows. В дополнение к существующим будут отображены удалённые файлы и папки. Они будут помечены специальным красным крестиком, благодаря чему вам будет гораздо легче восстановить удаленные файлы.

Если вам необходимо вернуть утерянные файлы после вирусной атаки, Magic Partition Recovery поможет восстановить все без особых хлопот.

Что делать, если на флешке обнаружен вирус?

Современные пользователи довольно часто сталкиваются с ситуацией, когда на флеш-носителе заводятся самые разнообразные вирусы. Их деятельность и возникающие после этого последствия могут быть крайне опасными для записанной на накопителе информации, доступ к важным файлам может быть затруднён или вообще может отсутствовать.

Всё это приводит любого пользователя к необходимости наличия знаний в данной области и владения навыками борьбы с самыми разными вирусами.

К типичным симптомам неисправностей по вине вирусов и их деятельности относятся ситуации, когда компьютер сообщает о сбое в работе с USB-носителем, сигнализирует о возникновении ошибок. Иногда устройство и вовсе не может обнаружить подключенную к нему флешку. В некоторых случаях пользователь видит в контекстном меню непонятный набор символов, что, как правило, означает, что носитель поражён именно вредоносной программой.

Что можно предпринять?

Вирусы заносятся на флешку при переносе пользовательских данных, когда вместе с важными файлами на носитель попадают и вредоносные программы.

При подключении флешки к другому устройству вирус запускается и сохраняется в памяти инфицированного компьютера. При этом довольно часто антивирус не может вовремя распознать угрозу, а некоторые пользователи зачем-то отключают активированную по умолчанию функцию сканирования любого подключаемого к компьютеру внешнего накопителя.

Если Вы столкнулись с подобной ситуацией, паниковать не стоит. На самом деле, ничего страшного пока ещё не произошло. Зная порядок правильных действий, любой пользователь сможет справиться с возникшей угрозой, информация останется в целости и сохранности, а оборудование вернётся в штатный режим работы.

В большинстве случаев вирусные файлы являются скрытыми, то есть принадлежат к такому типу, который не виден при стандартных настройках операционной системы.

Поэтому первым шагом при ручном удалении вредоносных программ должна стать перенастройка, которая обеспечит видимость скрытых файлов.

Для этого в меню конфигурации необходимо выбрать подменю настройки, где найти подпункт «Скрытые файлы», который нужно будет перевести в позицию «Показать скрытые файлы».

После чего достаточно будет в окошке поиска по флешке вбить названия autorun.inf, а также autorun.exe. Найденные файлы с такими именами нужно попросту удалить с флешки.

Антивирусная профилактика

На самом деле, достаточно лишь поддерживать свою антивирусную программу в актуальном состоянии, не препятствовать обновлению её базы данных по вирусам. Это нехитрое правило позволит защититься от подавляющего большинства современных вирусов.

В случае возникновения каких-либо затруднений с устранением последствий вирусной деятельности, лучше не рисковать и обратиться к компетентным специалистам. Если на Вашем носителе содержится важная информация, которую нужно бережно извлечь и вернуть, Вы всегда можете рассчитывать на нашу помощь.

Шаг № 2: Удаление вирусов с внешнего накопителя

После того как Windows окажется настроен для работы, нужно поработать над тем, как удалить вирус с флешки. В этом случае вылечить внешний накопитель от autorun можно при помощи любого установленного на компьютере антивируса. Это может быть:

• Avira;
• Norton Antivirus;
• NOD32;
• Антивирус Касперского;
• Dr.Web;
• Avast;
• Панда Антивирус и пр.

Базы сигнатур у этих программ сегодня практически одинаковые, поэтому каждой из них можно доверить распознать и удалить трояны, autorun и прочие вирусы на флешке. При этом процедура работы с этими антивирусами стандартна. Все, что потребуется – это установить на ПК антивирусную программу, настроить в ней автоматическую проверку внешних накопителей и уже после подключения флешки дождаться удаления с нее всех вирусов.

Также вылечить USB-носитель можно также с помощью специальных утилит. Например, убрать с флешки вирусы могут помочь такие программки со встроенным антивирусом, как AVZ , Virus Removal Tool от Лаборатории Касперского или Dr.Web CureIt :

При этом качественную защиту флешки от autorun обеспечат Antiautorun , FlashControl , Зоркий Глаз , Trustport USB Antivirus . Последний антивирус, в частности, распаковывается на USB-носитель, что позволяет использовать для обеспечения безопасности при подключении к другим компьютерам:

Просканировать и вылечить внешний накопитель от вирусов можно и через интернет. В этом случае поиск autorun и прочих вирусов на флешке помогут выполнить такие онлайн-антивирусы, как Online Scanner от ESET, Security Scan от Kaspersky, Panda ActiveScan .

Вместе с тем если доступ к интернету органичен, внешний накопитель можно попытаться почистить и вручную. Для этого придется отыскать и удалить с флешки все ярлыки с разрешением (.lnk), неизвестные файлы в формате (.exe), autorun.inf и RECYCLER:

Как антивирус удаляет файл?

Антивирусы нацелены обнаруживать и удалять части кода зараженных программ, которые несут вред Вашему компьютеру. В ходе сканирования, антивирус может классифицировать некоторые файлы как подозрительные и стереть их по окончанию сканирования. Такие файлы не обязательно инфицированы, чаще причиной удаления становится ошибка системы или реестра.

Если вы потеряли файл или приложение, без которого не сможете работать, или это крайне важный документ, прежде всего не волнуйтесь. Существует несколько способов по предупреждению такой ситуации.

Восстановление через файловые менеджеры

Если после работы с командной строкой данные на флешке восстановить не удалось, то попробуйте найти их через файловые менеджеры. Сначала используйте Total Commander:

1. Раскройте меню «Конфигурация» и перейдите в настройки. Откройте вкладку «Содержимое панелей». Установите показ скрытых файлов.
2. Откройте через Total Commander флешку. Выделите все каталоги, возле которых стоят восклицательные знаки.
3. Раскройте меню «Файл». Выберите пункт «Изменить атрибуты». Снимите все атрибуты, кроме «Архивный», и нажмите «ОК».

Если Total Commander не помогает, используйте для изменения атрибутов программу Far Manager. У неё не такой удобный интерфейс, но свои функции она выполняет исправно:

1. Запустите файловый менеджер. Нажмите Alt+F1 и откройте съемный диск.
2. Выделите первый файл и нажмите Insert. Все данные будут выделены желтым цветом.
3. Нажмите F4 и уберите отметки напротив пунктов «Hidder», «System» и «Read Only». Чекбоксы должны быть пустыми.

После отключения лишних атрибутов данные в окне файлового менеджера поменяют цвет с темно-синего на белый. Это значит, что файлы больше не скрыты, и вы можете открыть их на флешке.

Восстановление данных с помощью бесплатной программы Recuva

Далее рассмотрим ситуацию, когда информацию с флешки очистили или просто удалили один файл, неважно вирус, вы сами по ошибке или какой ни будь нехороший человек – редиска.

Пользоваться будем отличной, бесплатной программой Recuva. Скачать можно с официального сайта http://recuva.su/download.

Восстановление после удаления

Итак, скачиваем и запускаем программу Recuva. Если скачали портативную версию, то обратите внимание, что в архиве есть программа для 64 битных компьютеров.

1. В первом окне смело нажимаем NEXT (Далее);
2. Во втором окне выбираем тип файлов, который будем восстанавливать или все типы.
3. В следующем окне выбираем место, где искать. В нашем случае указываем путь к флешке.
4. В следующем окне можно поставить галку «Разрешить глубокое сканирование» (Enable Deep Scan), при этом сканирование может идти очень долго, до нескольких часов! Я обычно галку не ставлю, но если вдруг после этого нужный файл не находится, тогда уж использую глубокое сканирование.
5. После завершения сканирования открывается окно с таблицей найденных файлов.

Напротив каждого есть цветной кружочек, который означает следующее:

• Зелёный – в отличном состоянии;
• Жёлтый – повреждён, но можно попробовать восстановить;
• Красный – в принципе, можно и не пытаться.

Можно отсортировать файлы по атрибутам, нажимая на соответствующие заголовки в шапке таблицы.

Отмечаем все или ищем нужный и нажимаем Восстановить (Recover…).

Остаётся только выбрать папку, куда будут скопированы восстановленные файлы.

• Один нюанс! Файлы будут восстановлены «кучей». К сожалению структура папок не сохраняется.
• Второй нюанс! Если вы восстанавливаете всё скопом, то будут восстановлены и старые файлы, которые давно были удалены.
• Третий нюанс! Многие имена тоже не сохраняются, а превращаются в набор цифр, хотя само содержимое в порядке.
• Четвёртый нюанс! Если путь к файлу был очень длинный, то программа может выдать ошибку на середине операции восстановления. Нужно будет вручную в таблице найти этот путь и снять галочку, т.е. исключить его из сканирования. Найти его можно визуально в таблице, в той колонке где прописан путь. Просто раздвиньте колонку по шире и, пролистывая, найдите самый длинный.

Так что придётся повозиться, разбирая этот хлам.