Вирус работал в два этапа: шифровал файлы (причем не все и не полностью), затем инициировал перезагрузку и после перезагрузки шифровал загрузчик (MBR) жесткого диска. В итоге жесткий диск превращался в условную «тыкву», из которой ничего не вытащить.
В случае, если ПК пережил только первый этап, то после восстановления MBR можно полноценно продолжать работать за ПК и наблюдать последствия работы шифровальщика файлов и искать те, что уцелели. Если ПК пережил два этапа, то всё гораздо хуже и даже просто вытащить файлы гораздо сложнее.
Поиск информации в Рунете по способам спасения информации с такого жесткого диска практически нет, поэтому мне пришлось опытным путем подбирать оптимальную стратегию поиска и восстановления того, что могло уцелеть. Были опробованы порядка десятка программ восстановления информации, но больше всего информации удалось вытащить при помощи программы R-Studio, о ней и пойдет речь далее, с описанием последовательности действий для спасения (все действия будут осуществляться под Windows 7, но я думаю неважно какая версия windows у вас лишь бы запустился R-studio).
Скажу сразу — вытащить можно почти все файлы, но они будут зашифрованы, кроме файлов которые не шифровались, как правило фотографии и видео. Восстановить некоторые файлы можно будет при наличии утилит, которые предусмотрели разработчики соответствующего формата файлов. На примере ниже мы рассмотрим процесс спасения файла архива от Outlook.
Итак последовательность действий:
1. Подключаем неотформатированный зашифрованный диск (это ключевое требование, если диск форматировался или на нем была переустановлена ОС, то шансы восстановить хоть что-то стремятся к нулю), который прошел 2 этапа шифрования с потерей файловой системы, к ПК под управлением Windows (подключать можно как напрямую к материнской плате через порты sata/ide так и через USB адаптеры, кому как удобнее). И после загрузки ПК получаем сообщение о необходимости отформатировать вновь подключенный диск (в моем случае это диск G).
Жмем отмену. Убеждаемся, что наш диск действительно поврежден, в диспетчере дисков он определится с файловой системой RAW:
2. Запускаем программу R-Studio (я использовал версию 8.2) и смотрим найденные диски. Наш подопытный жесткий диск объемом 320 Гб был подключен через док-станцию USB 3.0 и определился как JMicron Tech 023 под буквой «G».
Далее делаем двойной клик на строку с диском «G», как на рисунке выше, и ждем окончания сканирования диска.
3. Нам откроется окно R-Studio с результатами сканирования (см. рис. ниже):
Как правило, находится очень мало папок с понятным названием, всё самое ценное находится в разделе «Дополнительно найденные файлы». Поэтому переходим к следующему шагу.
4. Выделяем мышкой строку «Дополнительно найденный файлы» и жмем кнопку «Найти/отметить» на панели управления программы.
5. В открывшемся окне выбираем поиск по расширению файлов и указываем расширение pst (формат файла архивных папок Outlook) и нажимаем кнопку «Да».
6. Поиск нам найдет архивные файлы, их может быть много и в разных папках. Поэтому ориентируемся на путь, по которому у вас хранились архивные файлы. На примере ниже видно, что искомые файлы находились в папке «Файлы Outlook».
Прошу обратить внимание, что если посмотреть на левое меню и подняться вверх по иерархии папок, то видно, что эта папка расположена в папке учетной записи пользователя и там есть папки Desktop, Documents и т.д. Таким образом можно вытащить фото и другие файлы, которые хранились у пользователя в этих папках.
7. Далее ставим галочки на искомых файлах с расширением pst и жмём кнопку «Восстановить помеченные», указываем место для сохранения спасаемых файлов (в моем случае это папка Recover на диске С). Ждем окончания процесса копирования файлов.
8. Восстановленный файл архива как правило поврежден и не определяется программой Outlook. К счастью у больших файлов вирус шифровал только первый мегабайт, оставляя остальное нетронутым. Поэтому нам нужно попытаться восстановить структуру архива, для этого есть несколько способов:
А) Использовать утилиту SCANPST входящую в стандартный комплект MS Office. Например в MS Office 2010 эта утилита находится в папке C:\Program Files (x86)\Microsoft Office\Office14\ если у вас 64 битной Windows и по пути C:\Program Files\Microsoft Office\Office14 при использовании 32-битной версии Windows.
Б) Использовать утилиты сторонних разработчиков. Коих можно найти много на просторах гугла.
Я использовал первый вариант и в принципе он сработал на всех ПК, которые мне принесли на восстановление.
Также прилагаю к посту ссылку на пошаговую инструкцию по работе с утилитой SCANPST.
На этом собственно всё, другие файлы восстанавливаются аналогичным алгоритмом, необходимо только подставить нужное расширение файла, либо вручную пролистать все папки в разделе «Дополнительно найденные файлы» и выбрать что именно необходимо восстановить.
Если кому-то мой пост покажется «капитанским» просьба сильно не критиковать, не у всех есть опыт восстановления данных и проверенные инструменты. Если остались еще вопросы можете писать в ЛС или тут в комментариях.
Комментарии (23)
AbnormalHead
22.07.2017 01:21+1Использовалась R-Studio Network цена на сайте каких то жалких $179.99.
Не, оно, конечно получается дешевле, чем совсем потерять данные. Но может надо было сильно заранее озаботиться бекапом критически важных данных?
anaximandr
22.07.2017 04:43+3А теперь представьте ситуацию, когда у вас вся инфраструктура на windows вместе с серверами. «Петя» получает доступ к серверу с АД и понеслась… Файловый сервер с шарами пользователя, почтовый сервер exchange, рабочие ПК пользователей — все они получают приказ от доверенного и важного АД приказ «скачать и установить».
Соответственно погибает всё вместе с бэкапами.
Ну и R-studio стоит дешевле, чем выкуп за Петю. Хотя признаюсь, перед покупкой тестировал версию с торрентов.Fangelion
23.07.2017 12:05+1У нас именно так и было. Спасло то, что многие проекты были под svn, и там все легко восстановилось. А вот бухгалтерские компы швах.
Amihailov
22.07.2017 10:21+3Уточните, пожалуйста, ваше решение — это вернуться в прошлое и забэкапиться? :)
AbnormalHead
24.07.2017 14:43+1Т.е. делать бекап необходимых ресурсов надо только после случившегося инцидента?
По моему мнению, нормальный даже недоадмин первым делом должен настраивать бекап всех рабочих данных. Ибо помимо всяческих вирусов есть одна небольшая проблема — любой носитель данных смертен. Причем смертен внезапно.
suslovas
24.07.2017 14:501000+ рабочих мест, 50+ серверов. Где найти террабайты хранимки на бэкап всего этого добра, если руководство и на оперативные то проблемы с трудом выделяет ресурсы? Тут вопрос в том, что возможно этот инцидент наглядно продемонстрирует как раз неИТшному руководству важность бэкапов, хотя надежды мало.
u010602
24.07.2017 14:57Для начала нужно бекапить только документы и базы данных, бекапить операционски и софт можно в последнюю очередь. Если даже по 20гб дать на каждой раб станции под доки и прочие юзерские папки, то это всего 20ТБ, это два винчестера по 10 Тб. Если бизнес на 1000 компов не может позволить себе ДВА! доп винчестсера, то значит он в процессе банкротства, и особой разницы что и как делать — нет. Все равно ведь закроют через пару лет.
suslovas
24.07.2017 14:59+1Всего 20 Тб… Вы готовы оплатить 20ТБ из своего кармана? И это вы только рабочие станции посчитали, хотя сервера гораздо важнее, а там явно не 20 ТБ. И нет, он не в процессе банкротства, просто экономистам, которые о компьютерах знают только, что на него почта приходит, не объяснишь почему они должны выделить из бюджета несколько миллионов на новое железо, ведь все и так работает.
u010602
24.07.2017 15:38+1А при чем тут мой карман? Мы работу обсуждаем или в шарады играем? И о каких миллионах речь, вам два винта некуда воткнуть в ваших 50 серверах? Я же не знаю что у вас на серверах хранится, может там то-же не все стоит бекапить. Сами попробуйте оценить что там важно для бекапа в первую очередь. Суть та-же — не нужно бекапить бинарники, нужно бекапить данные, причем важные уникальные данные. А еще данные не плохо сжимаются, я в расчете на 20 ТБ сжатие не учитывал. Если там не фоточки с отпуска и корпоратива, то в 4 раза точно сожмется, а может и в 10 раз.
П.С. винчестер на 10тб стоит от 400 до 500 баксов. Если у бизнеса (1000рс\50с) нет 1к баксов на инфраструктуру — то бизнес умирает. Т.к. сгори завтра один сервер вы попадете на значительно большие деньги — а их нет.
Вообще вот смотрите очень простой расчет в лоб. Каждый сотрудник компании должен приносить 500уе своей зарплаты, еще 500 чтоб отдать госву, еще 500 чтоб отдать собственику и еще 500 которые будут потрачены на амортизацию и прочие всякие чп. Если у вас 1000 рабочих станций, значит ваша контора должна приносить 1000 * 500 * 4 = 2 млн уе в месяц. Из них 500к это средства на развитие бизнеса, с этих 500к можно же купить как-то два винчестера за 1к раз в три года?
Если контора зарабатывает меньше — то скорее всего она тонет. Т.к. она не мелкая, а значит фаза активного роста уже прошла. А значит это или стагнация или спад. Зарплатный фонд и налоги ни куда не деть, можно уменьшать средства на бизнес и собственнику. Как только собственник сможет забрать «казну» и получить с нее годовую прибыль — он это сделает, а контору или продаст или обанкротит. Но даже если нет — она сама потонет раньше, железо будет ломаться и устаревать, зарплаты падать, хорошие спецы сбегут первыми, а балласт будет сидеть до последнего.suslovas
24.07.2017 16:01Вы все это хотите доказать не тому человеку. Естественно никто не собирается бэкапить бинарники, но одних только баз данных разных систем на несколько сотен террабайт. Вот и посчитайте. На все бэкапы надо ну хотя бы 100-200 террабайт, что бы все важные данные бэкапить. Эти диски надо где-то разместить, в серверах мест давно нет, соответственно надо закупить шасси, руками все это бекапить тоже удовольствие сомнительное и малореальное, соотвественно надо еще и ПО купить, хотя до этого обычно и не доходит. И есть или нет деньги бизнеса — это вопрос всегда спорный, у бизнеса никогда нет денег на ИТ, если это не ИТ бизнес. Экономисты вечно экономят на всем, даже если дела идут неплохо.
u010602
24.07.2017 16:11Если прямо совсем денег нет, то 10 дисков можно воткнуть в обычный десктоп. Все вместе в 5куе войдет. Если денег на софт нету — то наверное и база бесплатная, например постгрес, а он умеет сам делать бекапы и без стороннего софта. Раб станции можно бекапить встроенными средствами, настроенными через групповые политики. Но это уже вопрос 10ый.
И кстати вполне можно купить старый бу сервер на 10 дисков, ведь особой производительности не нужно, главное больше дисков напихать.
Так что — не миллионы. 1куе или 5куе — имхо разница не большая для бизнеса. А вопрос софта это уже рабочий момент, который и должен решать админ, в т.ч. и «руками бекапить» если прикажут.
Я хочу вам доказать как админу, что затраты на бекапы у типичных не айтишных контор это копейки, если копеек нет — то надо увольняться т.к. контора скоро отбросит коньки, даже если у нее дела идут хорошо, но экономисты идиоты.suslovas
24.07.2017 16:20+2Вы не можете понять одной простой вещи, по всей видимости вы никогда не работали в крупных компаниях с «государственным участием», как тут писали выше. Денег нет и денег не дают — это принципиально разные вещи — это раз. Бэкапить на дэсктоп — не вариант, хотя бы потому что попробуйте представить сколько по времени будет проходить этот бэкап. БУ сервер никто вам не даст закупать, потому что любая закупка — это тендер, а не поход в магазин. И это копейки только если все делать, как вы предлагаете из какашек и палок, а не на энтерпрайз уровне.
По этому в таких компаниях админам проще писать служебки о необходимости серьезной системы резервного копирования, и в случае форс-мажора весело помахивая этими служебками плясать танец «А-я-же-говорил», как в " Клиниках", чем собрать на коленке велосипед и отхватить еще и за то, что этот велосипед не поехал.u010602
24.07.2017 16:32Ну так вот мы и докопались до истинной причины отсутствия бекапов у вас — компаниях с «государственным участием». А вы то про деньги, то про экономистов.
Я два раза работал с конторами с российским капиталом — больше не работаю принципиально. И проблемы ваши понимаю. И дело не в деньгах и не в экономистах, там в целом свой способ ведения дел, на который повлиять не возможно. Можно только сменить место работы.suslovas
24.07.2017 17:42Ну для админа это выглядит именно как экономический отдел не согласует бюджет. А по поводу "менять работу", как мне когда то сказал человек, принимавший меня на работу: "работаем мы за зарплату, а не за идею." По этому пока мне платят хорошие деньги я буду работать в существующих условиях и существующей инфраструктуре, ну естественно пока все в рамках ТК.)
Amihailov
24.07.2017 21:49+1Надо до, во время и после, и хотя бы в пару мест. Я сторонник повсеместного резервного копирования.
Я написал к тому, что этому зайчику трамваем уже отрезало ножки и надо вызывать Айболита, а не рассказывать ему о том, что не отрезать ножки было бы дешевле и проще.
Demon_i
В нормальных компаниях везде imap. PST нафиг не сдался, а хомячки пользуются мейл.ру через веб интерфейс. Информация вообще не актуальна, и где восстановление картинок, заявленное в заголовке? При среднем объеме фотки 1-2 мб восстановить не реально.
sasha1024
По утверждению автора, «фотографии и видео» «как правило» «не шифровались» (так что их достать — раз плюнуть — если автор не ошибся).
Хоть узнал, что из себя представляет этот Petya.
Amihailov
Допустим, в нормальной компании imap с ограничением размера почтового ящика — 5-10ГБ, допустим даже, что компания очень нормальная и не жалеет гигабайты на сотни и тысячи своих сотрудников, закрывая глаза на объемы резервных копий почтового сервера, и выдает по 50ГБ на брата.
Так вот — все, что выше этого объема Outlook предложит складывать в локальных архивах на машинах пользователей, в тех самых PST файлах, ну либо удалить. В итоге, в ящике на сервере лежит только то, что поместилось, остальное в локальных базах.
l1tero
Используем office365 в работе. Лицензии с IMAP позволяют засирать ящик до 99ГБ. За 6 лет еще никто не достиг этого лимита.
anaximandr
Фотки и видео железно не шифровались, на гиктаймс уже были статьи с указанием полного перечня шифруемых файлов. В списке были архивы, офисные форматы (word,excel,pdf, ppt и.т.д.), образы виртуалок. Авторы вируса пытались максимально нарушить обычную офисную работу. Ну и в предпоследнем абзаце статьи стоит примечание, что можно восстановить другие файлы (в том числе картинки и фото) нужно лишь указать искомое расширение файла в пункте 5 инструкции.
Касательно первой части вашего комментария — вы даже не представляете как плохо обстоят дела с ИТ в крупных российских компаниях, и особенно плохо в компаниях с государственным участием. Экономия жесточайшая на всём, поэтому лимиты стоят как на почте, так и на сетевых шарах. Инфраструктура на windows, так как эникейщиков-полуадминов за недорого — вагон и маленькая тележка в каждом городе, а найти много спецов для построения и поддержания инфраструктуры на linux проблематично, ибо такие спецы дороже и их в разы меньше. Можете хоть сотни раз повторять заветные «ну тогда ССЗБ», но не работники принимают решения, а руководство и у них совсем другие цели и ключевые показатели. Если ИТ не является источником дохода компании, то надеяться на манну небесную бесполезно. На ИТ будет направляться ровно столько, чтобы оно не померло совсем, а на проблемы индейцев, как я отметил выше, шерифам все равно.
suslovas
Либо у нас повсеместно все так плохо, либо, судя по описанию, мы с вами в одной компании работаем…