Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Восстанавливаем файлы, удаленные после шифратора

кстати, шифровальщик не тронул файлы, которые были открыты на момент запуска заразы. видимо не умеет закрывать приложения ещё, и не получает доступ.

удалось восстановить директорию system volume information (около 15ГБ), однако не получается работать с этими данными.
закинул файлы в директорию, но винда не видит точки. так же не видят SystemRestoreExplorer и ShadowExplorer. Наверно метаданные уже не содержат инфы о старых точках.
Как достать файлы, кто что может посоветовать?
а что с ней было? с system volume information. была удалена?
santy,скорее всего vault постарался. r-studio увидел и восстановил данные на 15ГБ.
Роман,
а если в r-undelete попробовать добавить восстановленную папку? сможет она разобрать файлы в папке? там вроде есть два режима работы: быстрый поиск и восстановление, и углубленный поиск и восстановление.
http://www.r-undelete.com/ru/Download.shtml
r-undelete рекомендуют установить на флэшку, и соответственно восстановление файлов выполнять на другой диск, который не содержит данную папку.
домашняя версия вроде бесплатна, или с некоторыми ограничениями на размер файла.
Изменено: santy - 02.04.2015 05:45:43
system volume information

С каталогом можно работать с Linux Live CD
Даже если system volume information были удалены то Windows сразу не удаляет данные, а только помечает их как удалённые.

И с Linux Live CD их видно: http://forum.esetnod32.ru/forum8/topic737/
---------
А затирать спец. утилитами десятки гигов.  данных это история долгая и заметно влияющая на работу PC.
Злоумышленники врядли это будут делать.
Для эффективного затирания/уничтожения стребуется несколько циклов перезаписи данных.
santy, выслал вам на почту secring.gpg, который удалось восстановить и пару фотографий.
Проверьте, пожалуйста, на возможность расшифровки.
ап.
простите, перепутал файл...
Изменено: Иван Иванович - 02.04.2015 05:45:43
santy, может я что-то не понял, но вроде функционал и принцип тот же.

сама папка system volume information была и есть. в ней были точки (файлы без расширения). в 8:30 произошло заражение и затирание этих точек. т.е. папка стала занимать 0Б. затем в 10:30 система сделала новую точку как будто система восстановления win 7 была только что включена.
теме временем удаленные точки фактически оставались на диске как и почти при любом простом удалении (помечены на удаление, да).
вот их удалось вытащить на другой диск. тоже самое предлагает r-undelete. там файлы типа {19f1745a-8bfd-11e4-812f-08606e763134}{3808876b-c176-4e48-b7ae-04046e6cc752} и другие.
если получить права на эту папку и сложить восстановленные файлы туда система их не видит. видит только новую созданную точку.
всё это имхо конечно.

RP55 RP55, наверно метод похож. файлы в каталоге вижу. а вот как устроены эти файлы точек восстановления и как их разобрать хз. наподобие точек в xp, откуда можно было дернуть файлы веток реестра.

Иван Иванович, как восстановили secring.gpg?

кстати если юзать поиск по vault в контексте вылезает контора, которая якобы пишет дешифраторы. так вот они запросили 22кр. притом пример дешифровки не высылают)
Роман, я попытался восстановить р-студией. Он его нашел, но, к сожалению, восстановил 0 кб, и pubring.gpg -1 кб, я ошибся. Так что я тоже сижу с отключенными точками восстановления и перезаписанным нулевым secring.gpg
Цитата
Иван Иванович написал:
кстати если юзать поиск по vault в контексте вылезает контора, которая якобы пишет дешифраторы. так вот они запросили 22кр. притом пример дешифровки не высылают)
посредники, которые выдают дешифровку за свою разработку, хотя банально выкупают ключ и дешифратор у злоумышленников, и возможно пользуются скидкой с их стороны
Восстанавливаем удаленные после шифратора файлы,
перенес часть сообщений из темы VAULT сюда, для обмена опытом восстановления удаленных данных.
Изменено: santy - 02.04.2015 05:47:29
Читают тему