Как восстановить файлы после шифровальщика Bad Rabbit?
Хорошие новости для тех кто пострадал от шифровальщика Bad Rabbit. Из-за небольших ошибок со стороны авторов вредоносной программы, нашелся способ восстановить зашифрованные криптовымогателем Bad Rabbit файлы.
Информация об ошибке была опубликована в сегодняшнем отчете Kaspersky «Плохой кролик». Исследователи говорят, что им удалось обнаружить две ошибки BadRabbit, которые могут быть использованы для расшифровки зашифрованных файлов.
Еще по теме: Как определить шифровальщик
Bad Rabbit и теневые копии файлов
Выяснилось, что вирус-шифровальщик Бэд Раббит не удаляет теневые копии файлов. Это технология операционной системы Windows, которая создает моментальные снимки файлов во время использования.
Поскольку криптовымогатель работает, создавая копию файла, шифруя ее и удаляя оригинал, все зашифрованные файлы находятся в точке «в использовании», а теневая копия создается на диске в «предыдущие версии файла». Эти теневые (невидимые) файлы хранятся на диске в течение неопределенного периода времени на основе свободного места.
Большинство вирусов-вымогателей удаляют теневые тома, чтобы не допустить восстановления зашифрованных файлов из сохраненных оригинальных копий, незашифрованных файлов, но тот, кто создал шифровальщик BadRabbit, не создал модуль для удаления этих файлов.
Для удаление теневых копий Windows шифровальщики как правило используют команду:
C:\Windows\Sysnative\vssadmin.exe" Delete Shadows /All /QuietМетод восстановления с помощью теневых копий не гарантируют, что пострадавшие от вымогателя пользователи смогут вернуть все свои файлы, но это, по крайней мере, поможет восстановить некоторые зашифрованные документы.
Как восстановить файлы зашифрованные BadRabbit
Восстановить файлы после шифровальщика из теневых копий можно разными способами, но лично я предпочитаю программу ShadowExplorer. Использование этого метода по сравнению с другими делает процесс восстановления намного легче, так как имеет очень простой и понятный интерфейс.
Скачать ShadowExplorer можно с официальной страницы по этой ссылке.
Существуют две версии программы: портабельная (не требующая установки) и обычная. Вы можете использовать любую, так как их возможности одинаковые. Лично я предпочитаю портабельные версии программ.
Восстановление зашифрованных файлов с помощью Shadow Explorer
Как только вы загрузите и запустите ShadowExplorer, на экране появится список всех дисков и даты создания теневых копий.
Выберите диск (синяя стрелка), из которого вы хотите восстановить файлы или папки, и дату (красную стрелку), из которой вы хотите восстановить.
Затем перейдите к папке или файлам, которые вы хотите восстановить. Выберите файл или папку и правым кликом мышки вызовите контекстное меню в котором выберите пункт «Экспорт», как показано ниже.
Когда вы нажмете «Экспорт», ShadowExplorer отобразит окно с предложением восстановления файлов.
Перейдите к папке или создайте новую для восстановления файлов и нажмите кнопку «ОК». ShadowExplorer восстановит файлы.
Можно обойтись и без программы Shadow Explorer средствами самой Windows. Но использовать данную утилиту для работы с теневыми копиями намного проще.
Кстати, таким способом можно восстановить файлы зашифрованные и другими шифровальщиками, такими как Cerber и т.д.
В этой статье мы не рассмотрели еще один способ лечения зашифрованных файлов Bad Rabbit. Он довольно сложный и обычному пользователю не под силу. О нем мы расскажем уже в отдельной статье.
На будущее, перед запуском всех скаченных файлов рекомендую не надеяться на установленный антивирус, а использовать онлайн проверку файла на вирусы. Такая проверка имеет больше шансов выявить вредоносное ПО.
А на сегодня все. Очень надеюсь, что вам помогла данная статья и вам все же удалось восстановить зашифрованные вирусом файлы.
