Как настроить и использовать теневое копирование тома в Microsoft Windows. Почему теневые копии не спасают от большинства шифровальщиков

Важно: Данная статья предназначена для случая, когда на компьютере настроено стандартное резервное копирование в Windows 7.

Восстановление файлов из теневых копий Windows

Вы когда-нибудь обнаруживали, что нужный вам файл был удален? Что прошло какое-то время и файл куда-то исчез? Конечно, причин тому может быть много. Но, обычно в такие моменты, первым делом больше волнует другой вопрос, нежели причина, - "Как его теперь восстановить?". Если вы постоянный читатель сайт, то, вероятно, у вас установлены и настроены программы для резервного копирования , которые позволят восстановить пропавший файл.

Но, что делать если у вас нет таких программ, или уже слишком поздно для восстановления, так как программа синхронизировала копию с оригиналом и стерла этот файл. Что тогда? Конечно, у вас все еще остается возможность использовать программы для восстановления удаленных файлов, но, обычно, это достаточно длительная процедура, к которой стоит обращаться уже только тогда, когда других вариантов не осталось. Так с чего стоит начать?

Если у вас настроено стандартное резервное копирование Windows через интерфейс "Архивация и восстановление" (см. ссылку), или же вы создавали точки восстановления, то у вас еще остается возможность относительно быстро восстановить удаленный файл. Дело в том, что Windows 7 создает, так называемые "теневые копии" файлов, которые доступны из интерфейса "предыдущие версии". Эти теневые копии хранят не одну копию файла, а несколько его предыдущих версий. Именно этот факт и позволяет воспользоваться следующими двумя способами.

Восстанавливаем удаленный файл из теневой копии родительского каталога в Windows

  1. Выполните процедуру, описанную в предыдущей статье (по этой ссылке), чтобы открыть список предыдущих версий для папки, которая содержала удаленный файл
  2. Выберите предыдущую версию каталога так, что бы вы были уверены, что файл точно находился в данный момент в каталоге. В противном случае вам придется перебирать версии до первой удачной
  3. Вы можете нажать кнопку "Копировать", чтобы сохранить всю копии папки, и уже из нее восстановить удаленный файл. Если вы нажали кнопку, то появится диалоговое окно, в котором необходимо указать место для сохранения. Но, вы должны понимать, такая операция может занять время, если каталог занимает много места
  4. Вы так же можете нажать кнопку "Восстановить", чтобы все файлы в папке откатились до выбранной версии. Но, учтите, что это чревато изменением других файлов
  5. Если вас не устраивают оба предыдущих варианта, то вы можете нажать на кнопку "Открыть", и вам откроется весь список файлов выбранной резервной копии. Вы можете перетащить или скопировать удаленный файл туда, куда вам потребуется
  6. После того, как вы восстановите файл одним из способов, закройте диалоговое окно

Восстанавливаем удаленный файл из теневой копии по его имени в Windows

  1. Создайте пустой файл с таким же именем и расширением, как было у удаленного файла, и поместите его в исходном каталоге. Содержимое файла не имеет значения
  2. Щелкните правой кнопкой мыши на пустом файле
  3. В контекстном меню, выберите пункт "Свойства"
  4. Перейдите на вкладку "Предыдущие версии"
  5. Если повезет, то перед вами появиться весь список резервных копий удаленного файла. В данном случае, все зависит от обстоятельств
  6. Выберите нужную резервную копию (вероятно, самую последнюю) и нажмите кнопку "Восстановить"
  7. Закройте диалоговое окно

Оба этих способа можно использовать. Единственно, вы должны понимать, что восстановленный файл не обязательно будет самой последней версии, так как резервное копирование происходит не постоянно, а в определенные моменты времени.

  • Не устанавливаются обновления (хотфиксы) Windows? Утилита очистки и восстановления фреймворка.Net может помочь

Технические советы

  • Технические советы

  • Существует не так много способов, чтобы восстановить файлы, зашифрованные в результате атаки шифровальщика, но при этом не платить выкуп за них. Если нам повезло, то могут быть некоторые бесплатные средства для их восстановления, но более реальный вариант – это восстановление Ваших файлов из Ваших резервных копий. Однако, далеко не каждый человек имеет резервные копии своих файлов, хотя Windows предлагает очень полезную функцию, известную как Shadow Copy , которая, если говорить вкратце, представляет собой бэкап Ваших файлов. Кибер-преступники узнали о ней достаточно давно, а потому через несколько месяцев после того, как атаки шифровальщиков стали популярными, первое, что они делают при заражении Вашего компьютера, - это удаляют теневую копию Ваших файлов прежде, чем начать шифрование Вашей информации.

    Существует ряд технологий, которые могут быть применены для остановки атак шифровальщиков: некоторые из них почти бесполезные, такие как сигнатуры или эвристика (это первое, что проверяют авторы вредоносных программ перед их «релизом»), другие иногда могут быть более эффективными, но даже сочетание всех этих техник не гарантирует, что Вы будете защищены от всех подобных атак.

    Более 2 лет назад в антивирусной лаборатории PandaLabs применили простой, но достаточно эффективный подход: если какой-то процесс пытается удалить теневые копии, то, скорее всего (но не всегда, кстати), мы имеем дело с вредоносной программой, и вероятнее всего – с шифровальщиком. В наши дни большинство семейств шифровальщиков удаляют теневые копии , т.к. если этого не делать, то люди не будут платить выкуп, раз они могут бесплатно восстановить свои файлы. Рассмотрим, сколько инфекций было остановлено в нашей лаборатории благодаря такому подходу. Логично предположить, что это количество должно расти в геометрической прогрессии, т.к. количество атак шифровальщиков, использующих этот прием, также стремительно растет. Вот, например, количество атак, которые мы заблокировали за последние 12 месяцев с помощью нашего подхода:

    Но на диаграмме мы видим прямо противоположное тому, что ожидали. Как такое возможно? На самом деле, такому «феномену» есть очень простое объяснение: мы используем данный подход как «последнее средство», когда никакие другие техники безопасности не смогли обнаружить ничего подозрительного, а потому срабатывает данное правило, которое и блокирует атаку шифровальщика. Данный подход мы используем еще и для внутренних целей, в результате чего мы можем проанализировать более детально те атаки, что были заблокированы на «последнем рубеже», и потом улучшить все предыдущие уровни безопасности. Мы также используем данный подход для оценки того, насколько хорошо или плохо мы останавливаем шифровальщиков: другими словами, чем ниже значения, тем лучше работают наши основные технологии. Так что, как Вы можете видеть, эффективность нашей работы повышается.

    Оригинал статьи.

    Далеко не всегда необходимо устанавливать дополнительные сторонние программы в Windows 7, чтобы восстановить удаленные данные или данные которые подверглись перезаписи. Семерка позволяет сделать это собственными средствами. Если вы по неосторожности удалили или перезаписали файлы, предположим документы Microsoft Office или семейные фотографии и хотите их восстановить или вернуть к первоначальному состоянию, то не спешите устанавливать для этой процедуру специально ПО.

    Восстановление данных Windows 7 возможно средствами самой системы, для этого разработчики Microsoft добавили в эту версию операционной системы удобный и простой в использовании инструмент – теневые копии (Volume Shadow Copy Service, сокращенно VVS). C помощью теневых копий можно быстро, всего парой кликов мышкой, реанимировать удаленные или перезаписанные файлы, хранящиеся на жестком диске вашего компьютера.

    Не стоит путать теневые копии с полной резервной копией Windows 7. Это инструмент не заменяет полноценное резервное копирование, а всего на всего хранит дубликаты тех файлов, которые подверглись изменению или были удалены. В “семерке” данный инструмент работает по принципу точек восстановления. Все вы наверное знаете об этих точка, с помощью которых можно откатить систему на определенный момент. Так вот, функция VVS создает теневые копии данных, например перед обновлением ОС. Это очень удобный инструмент восстановления данных Windows 7, но только в том случае, если вы случайно удалили и перезаписали файлы. Volume Shadow Copy Service может восстановить до шестидесяти четырех предыдущих копий каждого удаленного, или измененного файла.

    Восстановление файлов с помощью теневых копий Windows 7

    Чтобы приступить к восстановлению файлов из теневых копий, выполните следующие действия. Щелкните правой клавишей мыши по нужному файлу, или каталогу, в котором находятся данные для восстановления. Затем, в открывшемся контекстном меню выберите пункт “Свойства”, затем перейдите во вкладку “Предыдущие версии”. Если теневые копии для файла или папки имеются в системе, то вы увидите их список. К сожалению мы не смогли найти в нашей системе теневых копий файлов, так как она практически свежая, то есть установленная специально для сайта сайт.

    Чтобы восстановить файл из нужной копии, достаточно просто кликнуть по нему два раза левой кнопкой мыши, и он будет восстановлен.

    Стоит отметить, что пользователь может настроить данный инструмент. Например, вы можете сами определить место хранения на жестком диске теневых копий файлов. Кроме того, нажав сочетание клавиш “Win+Pause” и перейдя в раздел “Защита системы” вы можете указать Windows 7 защищать диски или разделы жесткого диска и определить для каждого из них количество памяти, которой ОС может воспользоваться для этого.

    Надеюсь, что вы создаёте теневые копии, всего диска, не на том же диске, что и система, чтобы их просматривать?

    Обычно, эти копии невозможны для просмотра, как и файлы архивации, но видно, что место занято.

    Управление пространством для теневого копирования

    Пространство для хранения теневых копий выделяется отдельно на рабочих томах и на резервном диске для полного копирования системы. Используемое, выделенное и максимальное пространство для теневых копий можно проверить путем запуска следующей команды из командной строки с повышенными привилегиями:

    VSSAdmin list ShadowStorage

    Используемое пространство - пространство, занятое теневыми копиями в настоящий момент; выделенное - пространство, зарезервированное для теневых копий (и не используемое для других задач); максимальное - верхний порог, дальше которого объем теневых копий не может расти.

    Выделение пространства для теневых копий происходит автоматически, а значит, оно не может быть установлено пользователем. Новое пространство выделяется фиксированными кусками по мере занятия ранее выделенного пространства. По этой причине значение, указываемое для используемого пространства, всегда ниже, чем для выделенного.

    Для рабочих томов максимальное допустимое пространство для хранения теневых копий определяется при создании первой теневой копии - обычно при первом включении средства восстановления системы и создания точки восстановления во время установки. Значение устанавливается на 30% свободного пространства или 15% от общего размера тома - что меньше. Этот максимальный размер статичен. Он не меняется ни при увеличении, ни при уменьшении свободного пространства, ни при изменении размера тома.

    Однако размер можно подправить вручную путем использования средства VSSAdmin из командной строки с повышенными привилегиями. Например, чтобы увеличить максимальный размер пространства хранения на диске C:\ до 15 ГБ, нужно выполнить следующую команду:

    VSSAdmin Resize ShadowStorage /For=C: /On=C: /MaxSize=15GB

    Это средство впервые появилось на Windows Server®, где теневые копии определенного тома можно было держать на другом томе. В Windows Vista теневые копии тома хранятся на том же томе. Следовательно, копируемый том и том, на котором копии находятся, должны совпадать.

    С другой стороны, объем пространства для хранения теневых копий на диске назначения полного резервного копирования компьютера зафиксирован на 30% от полного объема диска. Это значение контролируется программой резервного копирования компьютера и не может быть изменено вручную. Данное пространство хранения теневых копий используется для хранения добавочных копий, создаваемых средством полного резервного копирования компьютера.

    До 64 теневых копий могут находиться на томе в один момент времени, если им хватит места в области хранения теневых копий. После того как максимальное ограничение по объему достигнуто, более старые теневые копии удаляются, чтобы освободить место для более новых. Следовательно, старые точки восстановления для средства восстановления системы удаляются при достижении предела хранимого в рабочем томе объема, а старые резервные копии, созданные CompletePC Backups удаляются при достижении этого предела на резервном диске. Вдобавок, хранение и правка иных данных на резервном диске могут вмешаться в нормальный процесс «старения» резервных копий, приводя к их ускоренному удалению.


    Не ищи Бога, не в камне, не в храме - ищи Бога внутри себя. Ищущий, да обрящет.