Wanna cry вирус как восстановить файлы. Как без лишних усилий восстановить после атаки вируса скрытую информацию на флешке? Видео c расшифровкой и восстановлением файлов

Вирус на флешке, ни для кого не сюрприз. Но вот остаться без важной информации, которая храниться на этой самой флешке, это тот еще казус. Мои знакомые, не однократно форматировали флешки после вирусов, не найдя там ни одного файла. А они могут быть просто скрыты вирусом... Как говориться в нашем деле лучше перебдеть чем недобдеть. И так... Вирус на флешке вылечили, либо удалили. Входим в корневой каталог, а там пусто. Как быть? Я не встречал вирусов, которые бы нахально стирали информацию с накопителей. Так что скорее всего ваши файлы скрыты. А значит надо их показать.

Показываем скрытые файлы и папки.
Для того чтобы показать скрытые файлы. В любом окне нажимаем кнопку Сервис

Затем выбераем Свойства папки...

Вкладка Вид

И нажимаем ОК

После этого все скрытые файлы и папки будут отображаться. И если вам повезет, то вы можете просто снять атрибут скрытый в свойствах папки или документа. Для этого, жмем правой кнопкой на нужный документ или папку и выбираем Свойства . Затем снимаем галочку возле атрибута Скрытый .

Но может быть так что данный атрибут файла убать будет невозможно или что еще хуже, Файлы и папки на флешке вовсе не будут отображаться. Тогда, прибегнем к помощи командной строки.

Открываем командную строку.

Для этого нажимаем сочетание клавиш Win+R . Получаем окно с названием Выполнить .

В поле для ввода пишем cmd

и нажимаем ОК

В командной строке переходим на нашу флешку.

Вводим X: (Где Х буква вашей флешки или диска) и нажимаем Enter
После этого вводим attrib -s -h -r -a /s /d , снова жмем Enter

Вот и все. Теперь атрибут Скрытый будет удален со всех файлов и папок на вашей флешке. Соответственно и все данные будут отображаться как положено. Если конечно они там есть.

Вирус Petya – требование выкупа для расшифровки

Через несколько часов после начала атаки в DATARC поступило первое обращение и мы проанализировали несколько пораженных серверов. Главный вывод: есть ненулевая вероятность восстановления данных при атаке вируса Petya – вирус часто повреждает файловую систему, но не шифрует данные.

На данный момент проанализированные повреждения можно разделить на категории.

Возможно 100% восстановление данных

Вероятно, в вирусе есть ошибки – он не всегда выполняет свой алгоритм, не успевает зашифровать данные, ломает загрузчик. Мы видели такие варианты повреждений:

1. Данные не зашифрованы, поврежден MBR
2. Данные не зашифрованы, поврежден MBR + NTFS bootloader
3. Данные не зашифрованы, поврежден MBR + NTFS bootloader + MFT – диск определяется как RAW

Восстановление данных возможно, потери больше 0%

В тех случаях, когда шифрование происходит, часть файлов может остаться неповрежденной. Мы видели такие варианты повреждений:

1. Шифруется только диск C: – остальные логические диски остаются в порядке
2. Шифруются не все файлы на диске C:
3. Шифруется только запись MFT, содержимое файла остается без изменений.

Расшифровка от старой версии не работает

Текущая версия Petya – это (предположительно) продолжение атаки 2016 года (см https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ и https://securelist.com/petya-the-two-in-one-trojan/74609/). Для старой версии была создана методика подбора ключа расшифровки (см https://github.com/leo-stone/hack-petya). Вирус 2017 года был изменён и старая методика не работает.

Например, в старой версии вируса MBR сохранялся в сектор 55 и “шифровался” XOR 0x37. В новой версии MBR сохраняется в сектор 34 и “шифруется” XOR 0x07.

Зашифрованный MBR:

Расшифрованный MBR:

Вирус Petya – MBR после расшифровки

Что делать, если компьютер заражен

О массовых заражениях компьютеров трояном-шифровальщиком WannaCry («хочется плакать»), начавшихся 12 мая 2017 года, сегодня не знает, пожалуй, только очень далекий от Интернета человек. А реакцию тех, кто знает, я бы разделил на 2 противоположных категории: безразличие и панический испуг. О чем это говорит?

А о том, что обрывочные сведения не дают полного понимания ситуации, порождают домыслы и оставляют после себя больше вопросов, чем ответов. Дабы разобраться, что происходит на самом деле, кому и чем это грозит, как защититься от заражения и как расшифровать файлы, поврежденные WannaCry, посвящена сегодняшняя статья.

Так ли страшен «черт» на самом деле

Не пойму, что за возня вокруг WannaCry? Вирусов много, новые появляются постоянно. А этот чем особенный?

WannaCry (другие названия WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) – не совсем обычный киберзловред. Причина его печальной известности – гигантские суммы причиненного ущерба. По данным Европола, он нарушил работу более 200 000 компьютеров под управлением Windows в 150 странах мира, а ущерб, который понесли их владельцы, составил более $ 1 000 000 000. И это только за первые 4 дня распространения. Больше всего пострадавших – в России и Украине.

Я знаю, что вирусы проникают на ПК через сайты для взрослых. Я такие ресурсы не посещаю, поэтому мне ничего не грозит.

Вирус? Тоже мне проблема. Когда на моем компьютере заводятся вирусы, я запускаю утилиту *** и через полчаса все в порядке. А если не помогает, я переустанавливаю Виндовс.

Вирус вирусу – рознь. WannaCry – троян-вымогатель, сетевой червь, способный распространяться через локальные сети и Интернет от одного компьютера к другому без участия человека.

Большинство вредоносных программ, в том числе шифровальщиков, начинает работать только после того, как пользователь «проглотит наживку», то есть кликнет по ссылке, откроет файл и т. п. А чтобы заразиться WannaCry, не нужно делать вообще ничего!

Оказавшись на компьютере с Виндовс, вредонос за короткое время шифрует основную массу пользовательских файлов, после чего выводит сообщение с требованием выкупа в размере $300-600, который нужно перечислить на указанный кошелек в течение 3 дней. В случае промедления он грозит через 7 дней сделать расшифровку файлов невозможной.

Одновременно вредонос ищет лазейки для проникновения на другие компьютеры, и если находит, заражает всю локальную сеть. Это значит, что резервные копии файлов, хранимые на соседних машинах, тоже приходят в негодность.

Удаление вируса с компьютера не приводит к расшифровке файлов! Переустановка операционной системы – тоже. Наоборот, при заражении шифровальщиками оба этих действия могут лишить вас возможности восстановить файлы даже при наличии валидного ключа.

Так что да, «черт» вполне себе страшен.

Как распространяется WannaCry

Вы всё врете. Вирус может проникнуть на мой комп, только если я сам его скачаю. А я бдительный.

Многие вредоносные программы умеют заражать компьютеры (и мобильные девайсы, кстати, тоже) через уязвимости – ошибки в коде компонентов операционной системы и программ, которые открывают кибер-злоумышленникам возможность использовать удаленную машину в своих целях. WannaCry, в частности, распространяется через уязвимость 0-day в протоколе SMB (уязвимостями нулевого дня называют ошибки, которые на момент начала их эксплуатации вредоносным/шпионским ПО не были исправлены).

То есть для заражения компьютера червем-шифровальщиком достаточно двух условий:

• Подключения к сети, где есть другие зараженные машины (Интернет).
• Наличия в системе вышеописанной лазейки.

Откуда эта зараза вообще взялась? Это проделки русских хакеров?

По некоторым данным (за достоверность не отвечаю), брешь в сетевом протоколе SMB, который служит для легального удаленного доступа к файлам и принтерам в ОС Windows, первым обнаружило Агентство национальной безопасности США. Вместо того чтобы сообщить о ней в Microsoft, дабы там исправили ошибку, в АНБ решили попользоваться ею сами и разработали для этого эксплойт (программу, эксплуатирующую уязвимость).

Визуализация динамики распространения WannaCry на сайте intel.malwaretech.com

Впоследствии этот эксплойт (кодовое имя EternalBlue), служивший какое-то время АНБ для проникновения на компьютеры без ведома владельцев, был украден хакерами и лег в основу создания вымогателя WannaCry. То есть благодаря не вполне законным и этичным действиям госструктуры США вирусописцы и узнали об уязвимости.

Я отключил установку обновлений Windows. Нафиг надо, когда и без них всё работает.

Причина столь быстрого и масштабного распространения эпидемии – отсутствие на тот момент «заплатки» – обновления Windows, способного закрыть лазейку Wanna Cry. Ведь чтобы его разработать, требовалось время.

На сегодняшний день такая заплатка существует. Пользователи, которые обновляют систему автоматически, получили ее в первые часы после выпуска. А те, кто считает, что обновления не нужны, до сих пор находятся под угрозой заражения.

Кому грозит атака WannaCry и как от нее защититься

Насколько я знаю, более 90% компьютеров, зараженных WannaCry, работало под управлением Windows 7. У меня «десятка», значит, мне ничего не грозит.

Опасности заражения WannaCry подвержены все операционные системы, которые используют сетевой протокол SMB v1. Это:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v 1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Подхватить зловреда по сети сегодня рискуют пользователи систем, на которых не установлено критическое обновление безопасности MS17-010 (доступно для бесплатного скачивания с сайта technet.microsoft.com, на который приведена ссылка). Патчи для Windows XP, Windows Server 2003, Windows 8 и других неподдерживаемых ОС можно скачать с этой страницы support.microsoft.com . На ней же описаны способы проверки наличия спасительного обновления.

Если вы не знаете версию ОС на вашем компьютере, нажмите комбинацию клавиш Win+R и выполните команду winver.

Для усиления защиты, а также при невозможности обновить систему сейчас, Microsoft приводит инструкции по временному отключению протокола SMB версии 1. Они находятся и . Дополнительно, но не обязательно можно закрыть через брандмауэр 445 порт TCP, который обслуживает SMB.

У меня лучший в мире антивирус ***, с ним я могу делать что угодно и мне ничего не страшно.

Распространение WannaCry может происходить не только вышеописанным самоходом, но и обычными способами – через социальные сети, электронную почту, зараженные и фишинговые веб-ресурсы и т. д. И такие случаи есть. Если скачать и запустить вредоносную программу вручную, то ни антивирус, ни патчи, закрывающие уязвимости, от заражения не спасут.

Как работает вирус, что шифрует

Да пусть шифрует, что хочет. У меня друг программист, он мне все расшифрует. В крайнем случае найдем ключ методом перебора.

Ну зашифрует пару файлов и что? Это не помешает мне работать на компе.

К сожалению, не расшифрует, поскольку способов взлома алгоритма шифрования RSA-2048, который использует Wanna Cry, нет и в обозримом будущем не появится. И зашифрует он не пару файлов, а практически все.

Приводить детальное описание работы вредоноса я не буду, кому интересно, может ознакомиться с его анализом, например, в блоге эксперта Microsoft Matt Suiche . Отмечу только самые значимые моменты.

Шифрованию подвергаются файлы с расширениями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Как видно, здесь и документы, и фото, и видео-аудио, и архивы, и почта, и файлы, созданные в различных программах… Зловред старается дотянуться до каждого каталога системы.

Зашифрованные объекты получают двойное расширение с припиской WNCRY , например, «Документ1.doc.WNCRY».

После шифрования вирус копирует в каждую папку исполняемый файл @[email protected] – якобы для дешифровки после выкупа, а также текстовый документ @[email protected] с сообщением для пользователя.

Далее он пытается истребить теневые копии и точки восстановления Windows. Если в системе работает UAC, пользователь должен подтвердить эту операцию. Если отклонить запрос, останется шанс восстановить данные из копий .

Ключи шифрования пораженной системы WannaCry передает в командные центры, расположенные в сети Tor, после чего удаляет их с компьютера. Для поиска других уязвимых машин он сканирует локальную сеть и произвольные диапазоны IP в Интернете, а найдя, проникает на всё, до чего сможет добраться.

Сегодня аналитикам известно несколько модификаций WannaCry с разным механизмом распространения, и в ближайшее время, надо ожидать, появятся новые.

Что делать, если WannaCry уже заразил компьютер

Я вижу, как файлы меняют расширения. Что происходит? Как это остановить?

Шифрование – не одномоментный процесс, хотя и не слишком долгий. Если вам удалось заметить его до появления на экране сообщения вымогателя, вы можете спасти часть файлов, немедленно выключив питание компьютера. Не завершением работы системы, а выдергиванием вилки из розетки !

При загрузке Виндовс в нормальном режиме шифрование будет продолжено, поэтому важно его не допустить. Следующий запуск компьютера должен произойти или в безопасном режиме, в котором вирусы не активны, или с другого загрузочного носителя.

Мои файлы зашифрованы! Вирус требует за них выкуп! Что делать, как расшифровать?

Расшифровка файлов после WannaCry возможна лишь при наличии секретного ключа, который злоумышленники обещают предоставить, как только пострадавший перечислит им сумму выкупа. Однако подобные обещания почти никогда не выполняются: зачем распространителям зловреда утруждаться, если они и так получили что хотели?

В отдельных случаях решить проблему можно и без выкупа. На сегодняшний день разработано 2 дешифратора WannaCry: WannaKey (автор Adrien Guinet) и WanaKiwi (автор Benjamin Delpy) . Первый работает только в Windows XP, а второй, созданный на основе первого, – в Windows XP, Vista и 7 x86, а также в северных системах 2003, 2008 и 2008R2 x86.

Алгоритм работы обоих дешифраторов основан на поиске секретных ключей в памяти процесса шифровальщика. Это значит, что шанс на расшифровку есть только у тех, кто не успел перезагрузить компьютер. И если после шифрования прошло не слишком много времени (память не была перезаписана другим процессом).

Итак, если вы пользователь Windows XP-7 x86, первое, что следует сделать после появления сообщения с требованием выкупа, это отключить компьютер от локальной сети и Интернета и запустить дешифратор WanaKiwi, скачанный на другом устройстве. До извлечения ключа не выполняйте никаких других действий на компьютере!

Ознакомиться с описанием работы дешифровщика WanaKiwi можно в еще в одном блоге Matt Suiche .

После расшифровки файлов запустите антивирус для удаления зловреда и установите патч, закрывающий пути его распространения.

Сегодня WannaCry распознают практически все антивирусные программы, за исключением тех, которые не обновляются, поэтому подойдет почти любая.

Как жить эту жизнь дальше

Э пидемия с самоходными свойствами застала мир врасплох. Для всевозможных служб безопасности она оказалась столь же неожиданной, как наступление зимы 1 декабря для коммунальщиков. Причина – беспечность и авось. Последствия – невосполнимая потеря данных и убытки. А для создателей вредоноса – стимул продолжать в том же духе.

Как считают аналитики, WanaCry принес распространителям очень неплохие дивиденды, а значит, атаки, подобные этой, будут повторяться. И тех, кого пронесло сейчас, не обязательно пронесет потом. Конечно, если не побеспокоиться об этом заранее.

Итак, чтобы вам не пришлось когда-либо плакать над шифрованными файлами:

• Не отказывайтесь от установки обновлений операционной системы и приложений. Это защитит вас от 99% угроз, которые распространяются через незакрытые уязвимости.
• Держите включенным .
• Создавайте резервные копии важных файлов и храните их на другом физическом носителе, а лучше – на нескольких. В корпоративных сетях оптимально использовать распределенные базы хранения данных, домашние пользователи могут взять на вооружение бесплатные облачные сервисы вроде Яндекс Диск, Google Диск, OneDrive, MEGASynk и т. д. Не держите эти приложения запущенными, когда не пользуетесь ими.
• Выбирайте надежные операционные системы. Виндовс XP таковой не является.
• Установите комплексный антивирус класса Internet Security и дополнительную защиту от вымогателей, например, Kaspersky Endpoint Security . Либо аналоги других разработчиков.
• Повышайте уровень грамотности в противодействии троянам-шифровальщикам. Например, антивирусный вендор Dr.Web подготовил для пользователей и администраторов различных систем обучающие курсы . Немало полезной и, что важно, достоверной информации содержится в блогах других разработчиков A/V.

И главное: даже если вы пострадали, не переводите злоумышленникам деньги за расшифровку. Вероятность того, что вас обманут, – 99%. Кроме того, если никто будет платить, бизнес на вымогательстве станет бессмысленным. А иначе распространение подобной заразы будет только расти.

Восстановление зашифрованных файлов — это проблема с которой столкнулись большое количество пользователей персональных компьютеров, ставших жертвой разнообразных вирусов-шифровальщиков. Количество вредоносных программ в этой группе очень много и оно увеличивается с каждым днём. Только в последнее время мы столкнулись с десятками вариантами шифровальщиков: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt и т.д.

Конечно, восстановить зашифрованные файлы можно просто выполнив инструкцию, которую создатели вируса оставляют на заражённом компьютере. Но чаще всего стоимость расшифровки очень значительна, так же нужно знать, что часть вирусов-шифровальщиков так зашифровывают файлы, что расшифровать их потом просто невозможно. И конечно, просто неприятно платить за восстановление своих собственных файлов.

Способы восстановления зашифрованных файлов бесплатно

Существует несколько способов восстановить зашифрованные файлы используя абсолютно бесплатные и проверенные программы, такие как ShadowExplorer и PhotoRec. Перед и во время восстановления старайтесь как можно меньше использовать зараженный компьютер, таким образом вы увеличиваете свои шансы на удачное восстановление файлов.

Инструкцию, описанную ниже, нужно выполнять шаг за шагом, если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем .

1. Удалить вирус-шифровальщик

Kaspersky Virus Removal Tool и Malwarebytes Anti-malware могут обнаруживать разные типы активных вирусов-шифровальщиков и легко удалят их с компьютера, НО они не могут восстановить зашифрованные файлы.

1.1. Удалить вирус-шифровальщик с помощью Kaspersky Virus Removal Tool

Кликните по кнопке Сканировать для запуска проверки вашего компьютера на наличие вируса-шифровальщика.

Дождитесь окончания этого процесса и удалите найденных зловредов.

1.2. Удалить вирус-шифровальщик с помощью Malwarebytes Anti-malware

Скачайте программу . После окончания загрузки запустите скачанный файл.

Автоматически запуститься процедура обновления программы. Когда она закончиться нажмите кнопку Запустить проверку . Malwarebytes Anti-malware начнёт проверку вашего компьютера.

Сразу после окончания проверки компьютера программа Malwarebytes Anti-malware откроет список найденных компонентов вируса-шифровальщика.

Кликните по кнопке Удалить выбранное для очистки вашего компьютера. Во время удаления вредоносных программ, Malwarebytes Anti-malware может потребовать перезагрузить компьютер для продолжения процесса. Подтвердите это, выбрав Да.

После того как компьютер запуститься снова, Malwarebytes Anti-malware автоматически продолжит процесс лечения.

2. Восстановить зашифрованные файлы используя ShadowExplorer

ShadowExplorer — это небольшая утилита позволяющая восстанавливать теневые копии файлов, которые создаются автоматически операционной системой Windows (7-10). Это позволит вам восстановить исходное состояние зашифрованных файлов.

Скачайте программу . Программа находиться в zip архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку ShadowExplorerPortable.

Запустите ShadowExplorer. Выберите нужный вам диск и дату создания теневых копий, соответственно цифра 1 и 2 на рисунке ниже.

Кликните правой клавишей мыши по каталогу или файлу, копию которого вы хотите восстановить. В появившемся меню выберите Export.

И последнее, выберите папку в которую будет скопирован восстановленный файл.

3. Восстановить зашифрованные файлы используя PhotoRec

PhotoRec это бесплатная программа, созданная для восстановления удалённых и потерянных файлов. Используя её, можно восстановить исходные файлы, которые вирусы-шифровальщики удалили после создания их зашифрованных копий.

Скачайте программу . Программа находиться в архиве. Поэтому кликните по скачанному файлу правой клавишей и выберите пункт Извлечь все. Затем откройте папку testdisk.

В списке файлов найдите QPhotoRec_Win и запустите её. Откроется окно программы в котором будут показаны все разделы доступных дисков.

В списке разделов выберите тот, на котором находятся зашифрованные файлы. После чего кликните по кнопке File Formats.

По-умолчанию программа настроена на восстановление всех типов файлов, но для ускорения работы рекомендуется оставить только типы файлов, которые вам нужно восстановить. Завершив выбор нажмите кнопку OK.

В нижней части окна программы QPhotoRec найдите кнопку Browse и нажмите её. Вам нужно выбрать каталог в который будут сохранены восстановленные файлы. Желательно использовать диск на котором не находятся зашифрованные файлы требующие восстановления (можете использовать флешку или внешний диск).

Для запуска процедуры поиска и восстановления исходных копий зашифрованных файлов нажмите кнопку Search. Этот процесс длится довольно долго, так что наберитесь терпения.

Когда поиск будет окончен, нажмите кнопку Quit. Теперь откройте папку, которую вы выбрали для сохранения восстановленных файлов.

В папке будут находиться каталоги с именами recup_dir.1, recup_dir.2, recup_dir.3 и тд. Чем больше файлов найдет программа, тем больше будет и каталогов. Для поиска нужных вам файлов, последовательно проверьте все каталоги. Для облегчения поиска нужного вам файла, среди большого количества восстановленных, используйте встроенную систему поиска Windows (по содержимому файла), а так же не забывайте о функции сортировки файлов в каталогах. В качестве параметра сортировки можно выбрать дату изменения файла, так как QPhotoRec при восстановлении файла пытается восстановить это свойство.

Сжатие данных и шифрование – это лишь дань моде. Причем сегодня они могут быть на пике популярности, но в один прекрасный день становятся совершенно не модными и не важными. Их популярность постоянно то растет, то снижается – циклично. Причем иногда шифрование данных становится более модным, в то время как сжатие сильно теряет в популярности, а затем ситуация снова может измениться…

Давайте посмотрим, какие типы шифрования (и сжатия) вообще доступны для пользователя Windows, и что вы можете сделать, если потеряли сжатые или зашифрованные данные.

NTFS-сжатие в реальном времени

Windows 7, 8, 8.1, а также некоторые более старые версии Windows используют высокоразвитую файловую систему NTFS. Одной из особенностей NTFS является возможность сжатия файлов в реальном времени с использованием быстрого алгоритма потокового сжатия. Алгоритмы сжатия в NTFS нацелены на обеспечение максимально понятной и прозрачной работы пользователя с сжатыми данными. То есть ни вы, ни какое-либо приложение не определите, что определенный файл или папка являются сжатыми, если только вы не пытались обнаружить сжатый элемент намеренно.

Сжатие NTFS – это быстро, понятно и удобно. Вы можете сжимать файлы поштучно, изменяя их свойства; так же вы можете сжать папку или весь диск (в этом случае сжатие станет стандартным атрибутом для всех файлов внутри сжатого объекта).

Если вы хотите использовать сжатие, обратите внимание, что оно лучше всего подходит для файлов малого и среднего размера, которые хорошо поддаются сжатию (например, сообщения электронной почты, файлы журналов, тексты или HTML), записываемые не часто и в определенной последовательности, не сжимаемые сами по себе.

Последний момент важен, поскольку он в значительной степени исключает возможность использовать сжатие для тех данных, которые занимают больше всего места на вашем жестком диске, например, фотографий, музыки и видео. Просто потому что все видео уже и так сжаты в максимально возможной степени. То же самое можно сказать о картинах во всех распространенных форматах (включая сжатие с потерей качества и без). Музыка также сжимается различными алгоритмами сжатия с потерями (MP3, OGG, AC3) или без (FLAC, ALAC). Очевидно, что нет никакого смысла сжимать папки, содержащие какие-либо из этих файлов.

На самом деле, сжатие папки «Документы» – также не лучшая идея. «Новые» форматы Microsoft Office (.docx, .xlsx и т. д.) на самом деле являются XML-файлами, сжатыми в ZIP-архивы. Так что использование NTFS-сжатия для этих файлов (или всей папки «Документы») также не принесет пользы.

Сжатие исполняемых файлов действительно может освободить несколько мегабайт – за счет более длительного времени их загрузки. Наконец, сжатие системных файлов может привести к невозможности загрузки всей операционной системы (хотя Windows достаточно умна, чтобы защитить эти файлы от сжатия).

Ограничения на сжатие файлов

Довольно теории. Если вы читаете это, вероятно, у вас пропал файл, папка или целый сжатый раздел, и вы ищете инструмент для восстановления этих данных. Итак, есть хорошие новости и плохие.

Хорошая новость в том, что файлы, сжатые NTFS, возможно восстановить. А плохая – в том, что они не восстанавливаются так же легко и в том же объеме, что файлы, не подвергавшиеся сжатию.

Хотя разработчики многих средств восстановления данных заявляют о возможности восстановления сжатых файлов, эффективность данной функции на самом деле может быть весьма ограниченной. Например, некоторые инструменты восстановления данных оказываются неспособными использовать нужный алгоритм обработки данных (вариант метода поиска по сигнатурам) в файлах, сжатых NTFS. Разумеется, лучшие инструменты обнаруживают, что определенный дисковый кластер был сжат, и сразу же распаковывают его, чтобы применить алгоритм восстановления по сигнатурам.

Другая проблема с файлами, сжатыми NTFS, посерьезнее, чем обычная фрагментация. Реализация алгоритма сжатия файлов в Windows позволяет практически мгновенно получать доступ к сжатым данным. Однако из-за некоторых конструктивных особенностей этих алгоритмов большие сжимаемые файлы могут сильно фрагментироваться. Из-за этого восстановить сжатые файлы размером более 64 КБ гораздо сложнее, чем несжатые файлы или файлы меньшего размера (например, сообщения электронной почты).

Если вы ищите инструмент для восстановления файлов, сжатых NTFS, попробуйте RS Partition Recovery, программу, поддерживающую восстановление сжатых файлов.

Алгоритмы самосжатия

Существует существенное исключение из правил, описанных выше. Некоторые устройства хранения данных, такие как накопители SSD с контроллерми Sandforce, сжимают данные в фоновом режиме. Суть этой логики – в сокращении износа привода (через запись меньших объемов информации в ячейки памяти NAND) и одновременном повышении производительности. В реальности это работает не так хорошо, как задумывалось, и ни одна другая компания (за парой исключений) не использовала этот принцип.

Что касается восстановления данных, самосжимающие устройства хранения данных полностью прозрачны для приложений, операционной системы и, что самое важное, для инструментов восстановления данных. Если мы говорим о контроллерах Sandforce, в них была допущена ошибка в реализации программы TRIM и «зачистке мусора», в результате чего удаленные данные просто оставались на устройстве, а не стирались. Все это сделало SSD-накопители Sandforce прекрасно подходящими для восстановления данных (но не особенно подходящими для других целей, в частности, для их использования в качестве, собственно, дисков).

Шифрование – очень общий термин. Зашифрованные данные могут варьироваться от защищенных паролем документов Word до целых разделов диска, заблокированных с помощью шифрования. В этой статье мы не сможем охватить все, что связано с шифрованием – для этого пришлось бы написать книгу, и не самую тонкую.

Вместо этого мы поговорим о двух совершенно разных типах шифрования, доступных пользователям Windows. Это файловое шифрование NTFS и разделов BitLocker.

Восстановление файлов с зашифрованных NTFS

NTFS – замечательная файловая система с множеством возможностей и функций. Одна из них – Encrypting File System (EFS) – обеспечивает надежное и понятное шифрование файлов и папок в разделах NTFS. Важно отметить, что EFS шифрует данные для каждого файла и не использует свободное пространство специально для шифрования. Однако любые зашифрованные файлы, которые теряются или удаляются, будут оставаться на диске в зашифрованном виде, даже если они уже находятся на дисковом пространстве, помеченном как «свободное». Важно отметить, что вы не можете шифровать и сжимать файлы с помощью NTFS одновременно, поскольку это взаимоисключающие опции.

NTFS шифрует данные с использованием объемного симметричного ключа. Это шифрование полностью прозрачно для пользователя и приложений, запрашивающих доступ к зашифрованным файлам через системные API. Однако пытаясь получить доступ к зашифрованным файлам, читая диск напрямую (в обход системных API), вы будете видеть только зашифрованные данные, расшифровать которые, не зная ключа шифрования и не владея правильным алгоритмом дешифрования, очень сложно. В результате многие средства восстановления данных либо не могут восстановить зашифрованные файлы, либо используют только половинчатый подход (например, производят восстановление на уровне файловой системы, но не используют низкоуровневый поиск данных / сигнатур).

Тем не менее, в NTFS, зашифрованные файлы — это просто … файлы. Если с ними что-то случается, и в файловой системе все еще есть информация о их местонахождении в прошлом, вы можете применить все известные приемы, чтобы проанализировать записи файловой системы и восстанавливать зашифрованный файл в оригинальном виде. Инструменты для восстановления данных, работающие с такими данными, всегда «помечают» восстановленный файл как зашифрованный, чтобы Windows могла правильно распознать его и расшифровать содержимое файла для пользователя.

Обратите внимание, что файлы с зашифрованными файлами NTFS могут быть успешно дешифрованы только после того, как их владелец войдет в свою учетную запись. Если вы не знаете пароль для учетной записи пользователя, сброс этого пароля мгновенно сделает зашифрованные файлы недоступными. Также обратите внимание, что для дешифрования файлов, зашифрованных NTFS, можно использовать текущий пароль или предыдущие пароли для этой учетной записи, которые использовались в прошлом.

Ищете инструмент для восстановления файлов, зашифрованных NTFS? Попробуйте RS Partition Recovery – средство восстановления данных, поддерживающее восстановление зашифрованных файлов и папок.

BitLocker – это встроенная система шифрования всего диска Windows. BitLocker не работает с отдельными файлами и папками. Вместо этого он шифрует весь том на диске, включая свободное пространство (независимо от настроек).

Разделы BitLocker могут быть прочитаны всеми версиями Windows (Windows 7, 8, 8.1 и новее). Однако новые тома могут быть созданы только в Windows 7 Ultimate и большинстве систем Windows 8.x.

Начиная с Windows 8, основной раздел (диск C:) автоматически зашифровывается с помощью BitLocker после входа пользователя в учетную запись Microsoft (учитывая, что учетная запись Microsoft имеет административные привилегии). Если администратор использует локальную учетную запись Windows, диск C: по умолчанию не зашифрован.

Что это значит для возможностей восстановления данных? Что при восстановлении данных вам так или иначе придется иметь дело с разделами BitLocker…

Шифрование BitLocker полностью прозрачно. Доступ к томам BitLocker можно получить на низком уровне с помощью системных API, которые вернут незашифрованные данные. В результате вы сможете успешно восстановить информацию из разделов BitLocker, используя те же инструменты восстановления данных, которые вы использовали бы для восстановления простого, незашифрованного раздела.

Трудности начинаются, когда ваша система не загружается, и вы пытаетесь восстановить раздел BitLocker, который не был установлен. Если вы подключили диск к системе Windows, вы можете установить раздел BitLocker, введя ключ восстановления. (Не знаете, куда вводить этот ключ? Не беспокойтесь, Windows предложит вам это в тот момент, когда вы попытаетесь получить доступ к разделу BitLocker.) Свой ключ восстановления вы можете получить, войдя в свою учетную запись Microsoft и используя следующую ссылку: https://onedrive.live.com/recoverykey

После этого найдите правильный ключ восстановления, сопоставив запрошенное имя со списком доступных ключей. Раздел BitLocker будет установлен.

Что делать, если у вас нет доступа к ключу восстановления? В этом случае вы действительно ничего не можете сделать. В конце концов, BitLocker был разработан, чтобы противостоять атакам против несанкционированного доступа.

Ищете инструмент для восстановления защищенных разделов BitLocker? Попробуйте RS Partition Recovery , средство восстановления данных, поддерживающее восстановление дисков и разделов, зашифрованных BitLocker.