A kötet árnyékmásolata beállítása és használata Microsoft Windows rendszerben. Miért nem mentik meg az árnyékmásolatok a legtöbb zsarolóvírustól?

Fontos: Ez a cikk arra az esetre vonatkozik, amikor a számítógép szabványos biztonsági mentéssel van konfigurálva a Windows 7 rendszerben.

Fájlok visszaállítása Windows árnyékmásolatokból

Azt tapasztalta már, hogy a szükséges fájlt törölték? Eltelt egy kis idő, és a fájl eltűnt valahol? Ennek persze sok oka lehet. De általában ilyen pillanatokban az első, ami jobban aggaszt, az egy másik kérdés, mint az ok - "Hogyan tudom most visszaállítani?". Ha rendszeres olvasója a webhelynek, akkor valószínűleg biztonsági mentési programokat telepített és konfigurált, amelyek lehetővé teszik a hiányzó fájl visszaállítását.

De mi van akkor, ha nincsenek ilyen programok, vagy már késő visszaállítani, mert a program szinkronizálta a másolatot az eredetivel, és törölte ezt a fájlt. Akkor mit? Természetesen továbbra is lehetősége van programokat használni a törölt fájlok helyreállítására, de általában ez egy meglehetősen hosszadalmas eljárás, amelyhez csak akkor érdemes fordulni, ha már nincs más lehetőség. Szóval hol érdemes kezdeni?

Ha beállította a szabványos Windows biztonsági mentést a Biztonsági mentés és visszaállítás felületen keresztül (lásd a hivatkozást), vagy visszaállítási pontokat hozott létre, akkor továbbra is lehetősége van a törölt fájl viszonylag gyors visszaállítására. A helyzet az, hogy a Windows 7 úgynevezett „árnyékmásolatokat” hoz létre a „korábbi verziók” felületről elérhető fájlokról. Ezek az árnyékmásolatok nem egy fájl egyetlen példányát tárolják, hanem annak több korábbi verzióját. Ez a tény teszi lehetővé számunkra a következő két módszer alkalmazását.

Törölt fájl helyreállítása a Windows szülőkönyvtárának árnyékmásolatából

  1. Kövesse az előző cikkben leírt eljárást (ezen a hivatkozáson keresztül) a törölt fájlt tartalmazó mappa korábbi verzióinak listájának megnyitásához.
  2. Válassza ki a könyvtár egy korábbi verzióját, így biztos lehet benne, hogy a fájl biztosan a könyvtárban volt. Ellenkező esetben ismételgetnie kell a verziókat az első sikeres verzióig.
  3. A "Másolás" gombra kattintva mentheti a mappa teljes másolatát, és visszaállíthatja belőle a törölt fájlt. Ha rákattintott a gombra, megjelenik egy párbeszédpanel, amelyben meg kell adnia a mentési helyet. De meg kell értenie, hogy egy ilyen művelet időt vehet igénybe, ha a könyvtár sok helyet foglal el.
  4. A "Visszaállítás" gombra kattintva is visszaállíthatja a mappában lévő összes fájlt a kiválasztott verzióra. De ne feledje, hogy ez tele van más fájlok módosításával.
  5. Ha nem elégedett mindkét korábbi lehetőséggel, akkor kattintson a "Megnyitás" gombra, és megjelenik a kiválasztott biztonsági másolat fájljainak teljes listája. A távoli fájlt bárhová húzhatja vagy másolhatja
  6. Miután visszaállította a fájlt valamelyik módszerrel, zárja be a párbeszédpanelt

Törölt fájl helyreállítása árnyékmásolatból a név alapján a Windows rendszerben

  1. Hozzon létre egy üres fájlt, amelynek neve és kiterjesztése megegyezik a törölt fájléval, és helyezze el az eredeti könyvtárba. A fájl tartalma nem számít
  2. Kattintson jobb gombbal egy üres fájlra
  3. A helyi menüben válassza a "Tulajdonságok" lehetőséget
  4. Kattintson az "Előző verziók" fülre
  5. Ha szerencséje van, látni fogja a törölt fájl biztonsági másolatainak teljes listáját. Ebben az esetben minden a körülményektől függ.
  6. Válassza ki a kívánt biztonsági másolatot (valószínűleg a legújabbat), és kattintson a "Visszaállítás" gombra
  7. Zárja be a párbeszédpanelt

Mindkét módszer használható. Az egyetlen dolog, amit meg kell értened, hogy a visszaállított fájl nem feltétlenül a legújabb verzió lesz, mivel a biztonsági mentés nem mindig, hanem bizonyos időpontokban történik.

  • A Windows frissítések (hotfixek) nem települnek? A .Net framework tisztítási és javítási segédprogramja segíthet

Technikai tippek

  • Technikai tippek

  • Nem sok módja van a ransomware támadás eredményeként titkosított fájlok váltságdíj fizetése nélküli helyreállításának. Ha szerencsénk van, lehet, hogy van néhány ingyenes eszköz a visszaállításukra, de a reálisabb megoldás a fájlok visszaállítása a biztonsági másolatokból. Azonban nem mindenkinek van biztonsági másolata a fájljairól, bár a Windows egy nagyon hasznos funkciót kínál Shadow Copy néven, amely röviden a fájlok biztonsági másolata. A kiberbűnözők régóta tudnak róla, ezért néhány hónappal azután, hogy a ransomware támadások népszerűvé váltak, az első dolguk, amikor megfertőzik a számítógépét, az az, hogy törlik a fájlok árnyékmásolatát, mielőtt megkezdenék az adatok titkosítását.

    Számos technológia alkalmazható a ransomware támadások megállítására: némelyikük szinte haszontalan, mint például az aláírások vagy a heurisztika (ezek az első dolgok, amelyeket a rosszindulatú programok szerzői ellenőriznek, mielőtt „kibocsátják őket”), mások néha hatékonyabbak lehetnek. , de még ezeknek a technikáknak a kombinációja sem garantálja, hogy védve lesz minden ilyen támadástól.

    Több mint 2 évvel ezelőtt a PandaLabs egy egyszerű, de hatékony megközelítést alkalmazott: ha egy folyamat megpróbálja törölni az árnyékmásolatokat, akkor nagy valószínűséggel (de nem mindig) rosszindulatú programokkal van dolgunk, és nagy valószínűséggel kriptográfussal. Manapság a legtöbb zsarolóvírus-család eltávolítja az árnyékmásolatokat, mert Ha ez nem történik meg, akkor az emberek nem fizetik a váltságdíjat, mivel ingyenesen visszaállíthatják fájljaikat. Fontolja meg, hány fertőzést állítottunk meg laboratóriumunkban ezzel a megközelítéssel. Logikus feltételezés, hogy ennek a számnak exponenciálisan kell növekednie, mert. az ezzel a technikával végrehajtott ransomware támadások száma is gyorsan növekszik. Például itt van azoknak a támadásoknak a száma, amelyeket az elmúlt 12 hónapban blokkoltunk a megközelítésünkkel:

    De a diagramon pont az ellenkezőjét látjuk annak, amit vártunk. Hogyan lehetséges ez? Valójában ennek a „jelenségnek” nagyon egyszerű magyarázata van: ezt a megközelítést „utolsó megoldásként” használjuk, amikor semmilyen más biztonsági technika nem tud gyanúsat észlelni, és ezért ez a szabály lép életbe, amely blokkolja a ransomware támadást. Belső célokra is alkalmazzuk ezt a megközelítést, melynek eredményeként az „utolsó határon” blokkolt támadásokat részletesebben elemezhetjük, majd javíthatjuk az összes korábbi biztonsági szintet. Ezt a megközelítést alkalmazzuk annak értékelésére is, hogy mennyire jól vagy rosszul állítjuk meg a ransomware-t: más szóval minél alacsonyabbak az értékek, annál jobban működnek az alapvető technológiáink. Tehát, mint látható, munkánk hatékonysága növekszik.

    Eredeti cikk.

    Nem mindig szükséges további harmadik féltől származó programokat telepíteni a Windows 7 rendszerbe a törölt vagy felülírt adatok helyreállításához. A Seven lehetővé teszi, hogy ezt saját eszközeivel megtegye. Ha véletlenül törölt vagy írt felül fájlokat, például Microsoft Office dokumentumokat vagy családi fényképeket, és szeretné visszaállítani vagy visszaállítani őket eredeti állapotukba, akkor ne rohanjon speciális szoftver telepítésével ehhez az eljáráshoz.

    A Windows 7 adathelyreállítása magán a rendszeren keresztül lehetséges, ehhez a Microsoft fejlesztői egy kényelmes és könnyen használható eszközt adtak az operációs rendszer ezen verziójához - árnyékmásolatok (Volume Shadow Copy Service, rövidítve VVS). Az árnyékmásolatok segítségével gyorsan, mindössze néhány egérkattintással újraélesztheti a számítógép merevlemezén tárolt törölt vagy felülírt fájlokat.

    Ne keverje össze az árnyékmásolatokat a Windows 7 teljes biztonsági másolatával. Ez az eszköz nem helyettesíti a teljes biztonsági másolatot, csak a módosított vagy törölt fájlok másolatait tartja meg. A "hétben" ez az eszköz a visszaállítási pontok elvén működik. Valószínűleg mindannyian ismerik ezeket a pontokat, amelyek segítségével egy bizonyos pontra visszaállíthatja a rendszert. Tehát a VVS funkció árnyékmásolatokat hoz létre az adatokról, például az operációs rendszer frissítése előtt. Ez egy nagyon praktikus Windows 7 adat-helyreállító eszköz, de csak akkor, ha véletlenül törölte vagy felülírta a fájlokat. A Volume Shadow Copy Service minden törölt vagy módosított fájl legfeljebb hatvannégy korábbi másolatát tudja visszaállítani.

    Fájlok visszaállítása Windows 7 árnyékmásolatok használatával

    A fájlok árnyékmásolatokból történő visszaállításához kövesse az alábbi lépéseket: Kattintson a jobb gombbal a helyreállítási adatokat tartalmazó fájlra vagy könyvtárra. Ezután a megnyíló helyi menüben válassza ki a „Tulajdonságok” elemet, majd lépjen a „Korábbi verziók” fülre. Ha a rendszerben vannak árnyékmásolatok a fájlhoz vagy mappához, látni fogja ezek listáját. Sajnos a rendszerünkben nem találtunk fájlok árnyékmásolatát, mivel az gyakorlatilag friss, vagyis kifejezetten az oldalhoz telepített oldal.

    Ha vissza szeretne állítani egy fájlt a kívánt másolatból, egyszerűen kattintson rá duplán a bal egérgombbal, és visszaáll.

    Érdemes megjegyezni, hogy a felhasználó testreszabhatja ezt az eszközt. Meghatározhatja például, hogy a merevlemezen hol legyenek a fájlok árnyékmásolatai. Ezenkívül a „Win + Pause” billentyűkombináció megnyomásával és a „Rendszervédelem” szakasz megnyitásával megmondhatja a Windows 7-nek, hogy védje a lemezeket vagy a merevlemez-partíciókat, és mindegyikhez meghatározza az operációs rendszer által biztosított memória mennyiségét. használható erre.

    Remélem, árnyékmásolatokat hoz létre a teljes lemezről, nem ugyanazon a lemezen, mint a rendszer, hogy megtekinthesse őket?

    Általában ezeket a másolatokat nem lehet megtekinteni, csakúgy, mint az archivált fájlokat, de egyértelmű, hogy a helyet foglalják.

    Árnyékmásolat-terület kezelése

    Az árnyékmásolatok tárhelye külön van lefoglalva a munkaköteten és a biztonsági mentési lemezen a teljes rendszermentés érdekében. A felhasznált, lefoglalt és maximális árnyékmásolat-terület a következő parancs futtatásával ellenőrizhető egy emelt szintű parancssorból:

    VSSAdmin listája ShadowStorage

    Használt terület – az árnyékmásolatok által jelenleg elfoglalt terület; allokált - árnyékmásolatok számára fenntartott terület (és nem használt más feladatokra); maximum - az a felső küszöb, amelyen túl az árnyékmásolatok mennyisége nem nőhet.

    Az árnyékmásolatok helykiosztása automatikus, ami azt jelenti, hogy a felhasználó nem állíthatja be. Az új területet rögzített darabokban osztják ki, ahogy a korábban kiosztott területet elfoglalják. Emiatt a használt területre jelentett érték mindig alacsonyabb, mint a lefoglalt terület.

    Karckötetek esetén az árnyékmásolatok maximálisan megengedett tárhelye az első árnyékmásolat létrehozásakor kerül meghatározásra – általában akkor, amikor először engedélyezi a rendszer-visszaállítást és létrehoz egy visszaállítási pontot a telepítés során. Az érték 30% szabad területre vagy a teljes kötetméret 15%-ára van állítva, attól függően, hogy melyik a kisebb. Ez a maximális méret statikus. Ez nem változik, ha növeli vagy csökkenti a szabad területet, vagy ha módosítja a hangerő méretét.

    A méret azonban manuálisan is beállítható a VSSAdmin eszközzel egy emelt parancssorból. Ha például a C:\ meghajtó maximális tárhelyét 15 GB-ra szeretné növelni, futtassa a következő parancsot:

    VSSAdmin ShadowStorage átméretezése /For=C: /On=C: /MaxSize=15GB

    Ez a funkció először a Windows Server® rendszeren jelent meg, ahol egy adott kötet árnyékmásolatai egy másik köteten tárolhatók. A Windows Vista rendszerben a kötet árnyékmásolatai ugyanazon a köteten vannak tárolva. Ezért a másolt kötetnek és annak a kötetnek, amelyen a másolatok találhatók, meg kell egyeznie.

    Másrészt a számítógép teljes biztonsági mentési célmeghajtóján lévő árnyékmásolat-tárhely mennyisége a teljes meghajtó 30%-a. Ezt az értéket a számítógép biztonsági mentési programja szabályozza, és nem módosítható manuálisan. Ez az árnyékmásolat-tárhely a Full Computer Backup által létrehozott növekményes másolatok tárolására szolgál.

    Egy köteten egyszerre akár 64 árnyékmásolat is elhelyezhető, mindaddig, amíg elegendő hely van az árnyékmásolat-tárhelyen. A maximális méretkorlát elérése után a régebbi árnyékmásolatok törlődnek, hogy helyet adjanak az újabbaknak. Ezért a rendszer-visszaállítás régi visszaállítási pontjai törlődnek, amikor elérik a munkakötet tárolókorlátját, és a CompletePC Backups által létrehozott régi biztonsági másolatok törlődnek, amikor a biztonsági mentési meghajtó eléri ezt a korlátot. Ezenkívül más adatok mentése és szerkesztése egy biztonsági mentési meghajtón megzavarhatja a biztonsági mentések normál "öregedési" folyamatát, ami gyorsított törléséhez vezethet.


    Ne keresd Istent, ne a kőben, ne a templomban - keresd Istent magadban. Kereső, hadd találja meg.