Cara menyiapkan dan menggunakan salinan bayangan volume di Microsoft Windows. Mengapa salinan bayangan tidak menyelamatkan Anda dari kebanyakan ransomware

Penting: Artikel ini ditujukan untuk kasus saat komputer dikonfigurasi dengan cadangan standar di Windows 7.

Mengembalikan File dari Salinan Bayangan Windows

Pernahkah Anda menemukan bahwa file yang Anda butuhkan telah dihapus? Bahwa beberapa waktu telah berlalu dan file tersebut telah menghilang di suatu tempat? Tentu saja, ada banyak alasan untuk ini. Tapi, biasanya pada saat-saat seperti itu, hal pertama yang lebih mengkhawatirkan adalah pertanyaan lain selain alasannya - "Bagaimana saya bisa memulihkannya sekarang?". Jika Anda adalah pembaca reguler situs ini, Anda mungkin telah menginstal dan mengonfigurasi program cadangan yang memungkinkan Anda memulihkan file yang hilang.

Tetapi bagaimana jika Anda tidak memiliki program seperti itu, atau sudah terlambat untuk memulihkan, karena program menyinkronkan salinan dengan aslinya dan menghapus file ini. Lalu bagaimana? Tentu saja, Anda masih memiliki kesempatan untuk menggunakan program untuk memulihkan file yang terhapus, tetapi biasanya ini adalah prosedur yang agak panjang, yang harus Anda gunakan hanya jika tidak ada pilihan lain yang tersisa. Jadi dari mana Anda harus memulai?

Jika Anda telah menyiapkan cadangan standar Windows melalui antarmuka "Pencadangan dan Pemulihan" (lihat tautan), atau jika Anda telah membuat titik pemulihan, Anda masih memiliki kesempatan untuk memulihkan file yang terhapus dengan relatif cepat. Faktanya adalah bahwa Windows 7 membuat apa yang disebut "salinan bayangan" dari file yang tersedia dari antarmuka "versi sebelumnya". Salinan bayangan ini tidak menyimpan satu salinan file, tetapi beberapa versi sebelumnya. Fakta inilah yang memungkinkan kita menggunakan dua metode berikut.

Memulihkan file yang dihapus dari salinan bayangan direktori induk di Windows

  1. Ikuti prosedur di artikel sebelumnya (melalui tautan ini) untuk membuka daftar versi sebelumnya untuk folder yang berisi file yang dihapus
  2. Pilih versi direktori sebelumnya sehingga Anda yakin bahwa file tersebut saat ini ada di direktori. Jika tidak, Anda harus mengulangi versi hingga versi pertama yang berhasil.
  3. Anda dapat mengklik tombol "Salin" untuk menyimpan seluruh salinan folder dan memulihkan file yang dihapus darinya. Jika Anda mengklik tombol tersebut, kotak dialog akan muncul meminta Anda untuk menentukan lokasi penyimpanan. Tapi, Anda harus mengerti, operasi seperti itu mungkin memakan waktu lama jika direktori memakan banyak ruang.
  4. Anda juga dapat mengklik tombol "Pulihkan" untuk mengembalikan semua file di folder ke versi yang dipilih. Namun, perlu diingat bahwa ini penuh dengan perubahan file lain.
  5. Jika Anda tidak puas dengan kedua opsi sebelumnya, Anda dapat mengklik tombol "Buka", dan Anda akan melihat seluruh daftar file cadangan yang dipilih. Anda dapat menyeret atau menyalin file jarak jauh ke mana pun Anda membutuhkannya
  6. Setelah Anda memulihkan file menggunakan salah satu metode, tutup kotak dialog

Memulihkan file yang dihapus dari salinan bayangan dengan namanya di Windows

  1. Buat file kosong dengan nama dan ekstensi yang sama dengan file yang dihapus dan letakkan di direktori aslinya. Konten file tidak masalah
  2. Klik kanan pada file kosong
  3. Di menu konteks, pilih "Properti"
  4. Klik tab "Versi Sebelumnya".
  5. Jika Anda beruntung, Anda akan melihat seluruh daftar salinan cadangan dari file yang dihapus. Dalam hal ini, semuanya tergantung pada keadaan.
  6. Pilih cadangan yang diinginkan (mungkin yang terbaru) dan klik tombol "Pulihkan".
  7. Tutup dialog

Kedua metode ini dapat digunakan. Satu-satunya hal yang harus Anda pahami adalah bahwa file yang dipulihkan belum tentu versi terbaru, karena pencadangan tidak dilakukan setiap saat, tetapi pada titik waktu tertentu.

  • Pembaruan Windows (perbaikan terbaru) tidak diinstal? Pembersihan .Net framework dan utilitas perbaikan dapat membantu

Kiat Teknis

  • Kiat Teknis

  • Tidak banyak cara untuk memulihkan file yang dienkripsi akibat serangan ransomware tanpa membayar uang tebusan. Jika kami beruntung, mungkin ada beberapa alat gratis untuk memulihkannya, tetapi opsi yang lebih realistis adalah memulihkan file Anda dari cadangan. Namun, tidak semua orang memiliki cadangan file mereka, meskipun Windows menawarkan fitur yang sangat berguna yang dikenal sebagai Salinan Bayangan, singkatnya, adalah cadangan file Anda. Penjahat dunia maya telah mengetahuinya sejak lama, dan oleh karena itu, beberapa bulan setelah serangan ransomware menjadi populer, hal pertama yang mereka lakukan ketika menginfeksi komputer Anda adalah menghapus salinan bayangan file Anda sebelum mereka mulai mengenkripsi informasi Anda.

    Ada sejumlah teknologi yang dapat diterapkan untuk menghentikan serangan ransomware: beberapa di antaranya hampir tidak berguna, seperti tanda tangan atau heuristik (ini adalah hal pertama yang diperiksa pembuat malware sebelum "diluncurkan"), yang lainnya terkadang lebih efektif , tetapi bahkan kombinasi dari semua teknik ini tidak menjamin bahwa Anda akan terlindungi dari semua serangan tersebut.

    Lebih dari 2 tahun yang lalu, PandaLabs mengambil pendekatan yang sederhana namun efektif: jika suatu proses mencoba menghapus salinan bayangan, kemungkinan besar (tetapi tidak selalu, ngomong-ngomong) kita berurusan dengan malware, dan kemungkinan besar dengan cryptographer. Saat ini, sebagian besar keluarga ransomware menghapus salinan bayangan, Karena jika ini tidak dilakukan, orang tidak akan membayar tebusan, karena mereka dapat memulihkan file mereka secara gratis. Pertimbangkan berapa banyak infeksi yang telah dihentikan di lab kami dengan pendekatan ini. Masuk akal untuk mengasumsikan bahwa angka ini harus tumbuh secara eksponensial, karena. jumlah serangan ransomware yang menggunakan teknik ini juga berkembang pesat. Misalnya, berikut adalah jumlah serangan yang kami blokir dalam 12 bulan terakhir dengan pendekatan kami:

    Tetapi pada diagram kita melihat kebalikan dari apa yang kita harapkan. Bagaimana ini mungkin? Faktanya, ada penjelasan yang sangat sederhana untuk "fenomena" ini: kami menggunakan pendekatan ini sebagai "upaya terakhir" ketika tidak ada teknik keamanan lain yang dapat mendeteksi sesuatu yang mencurigakan, dan oleh karena itu aturan ini dipicu, yang memblokir serangan ransomware. Kami juga menggunakan pendekatan ini untuk tujuan internal, sehingga kami dapat menganalisis lebih detail serangan yang diblokir di "perbatasan terakhir", dan kemudian meningkatkan semua tingkat keamanan sebelumnya. Kami juga menggunakan pendekatan ini untuk mengevaluasi seberapa baik atau buruk kami menghentikan ransomware: dengan kata lain, semakin rendah nilainya, semakin baik teknologi inti kami bekerja. Jadi, seperti yang Anda lihat, efisiensi pekerjaan kami meningkat.

    Artikel asli.

    Tidak selalu perlu menginstal program pihak ketiga tambahan di Windows 7 untuk memulihkan data yang dihapus atau ditimpa. Tujuh memungkinkan Anda melakukan ini dengan cara Anda sendiri. Jika Anda secara tidak sengaja menghapus atau menimpa file, katakanlah dokumen Microsoft Office atau foto keluarga dan ingin memulihkan atau mengembalikannya ke keadaan semula, maka jangan terburu-buru menginstal perangkat lunak khusus untuk prosedur ini.

    Pemulihan data Windows 7 dimungkinkan melalui sistem itu sendiri, untuk ini, pengembang Microsoft telah menambahkan alat yang nyaman dan mudah digunakan ke versi sistem operasi ini - salinan bayangan (Volume Shadow Copy Service, disingkat VVS). Dengan bantuan salinan bayangan, Anda dapat dengan cepat, hanya dengan beberapa klik mouse, menghidupkan kembali file yang dihapus atau ditimpa yang disimpan di hard drive komputer Anda.

    Jangan bingung antara salinan bayangan dengan cadangan lengkap Windows 7. Alat ini tidak menggantikan cadangan lengkap, tetapi hanya menyimpan duplikat dari file yang telah dimodifikasi atau dihapus. Di "tujuh" alat ini bekerja berdasarkan prinsip titik pemulihan. Anda semua mungkin tahu tentang poin-poin ini, yang dengannya Anda dapat memutar kembali sistem ke titik tertentu. Jadi, fungsi VVS membuat salinan data bayangan, misalnya, sebelum memperbarui OS. Ini adalah alat pemulihan data Windows 7 yang sangat berguna, tetapi hanya jika Anda tidak sengaja menghapus dan menimpa file. Volume Shadow Copy Service dapat memulihkan hingga enam puluh empat salinan sebelumnya dari setiap file yang dihapus atau diubah.

    Mengembalikan File Menggunakan Salinan Bayangan Windows 7

    Untuk mulai memulihkan file dari salinan bayangan, ikuti langkah-langkah berikut: Klik kanan pada file atau direktori yang diinginkan yang berisi data pemulihan. Kemudian, di menu konteks yang terbuka, pilih item "Properti", lalu buka tab "Versi Sebelumnya". Jika ada salinan bayangan untuk file atau folder di sistem, Anda akan melihat daftarnya. Sayangnya, kami tidak dapat menemukan salinan bayangan file di sistem kami, karena ini praktis baru, yaitu situs yang dipasang khusus untuk situs tersebut.

    Untuk memulihkan file dari salinan yang diinginkan, cukup klik dua kali dengan tombol kiri mouse, dan itu akan dipulihkan.

    Perlu dicatat bahwa pengguna dapat menyesuaikan alat ini. Misalnya, Anda dapat menentukan di mana salinan bayangan file disimpan di hard disk. Selain itu, dengan menekan kombinasi tombol "Win + Pause" dan pergi ke bagian "Perlindungan Sistem", Anda dapat memberi tahu Windows 7 untuk melindungi disk atau partisi hard disk dan menentukan jumlah memori yang dimiliki OS untuk masing-masingnya. dapat digunakan untuk ini.

    Saya harap Anda membuat salinan bayangan, dari seluruh disk, bukan pada disk yang sama dengan sistem, untuk melihatnya?

    Biasanya, salinan ini tidak dapat dilihat, serta file yang diarsipkan, tetapi jelas bahwa ruang telah digunakan.

    Manajemen ruang salinan bayangan

    Ruang penyimpanan untuk salinan bayangan dialokasikan secara terpisah pada volume kerja dan pada disk cadangan untuk cadangan sistem lengkap. Digunakan, dialokasikan, dan ruang penyalinan bayangan maksimum dapat diperiksa dengan menjalankan perintah berikut dari prompt perintah yang ditinggikan:

    Daftar VSSAdmin ShadowStorage

    Ruang bekas - ruang yang saat ini ditempati oleh salinan bayangan; dialokasikan - ruang disediakan untuk salinan bayangan (dan tidak digunakan untuk tugas lain); maksimum - ambang atas di mana volume salinan bayangan tidak dapat tumbuh.

    Alokasi ruang untuk salinan bayangan bersifat otomatis, yang artinya tidak dapat diatur oleh pengguna. Ruang baru dialokasikan dalam potongan tetap karena ruang yang dialokasikan sebelumnya ditempati. Karena alasan ini, nilai yang dilaporkan untuk ruang terpakai selalu lebih rendah dari ruang yang dialokasikan.

    Untuk volume awal, ruang penyimpanan maksimum yang diizinkan untuk salinan bayangan ditentukan saat salinan bayangan pertama dibuat - biasanya saat pertama kali Anda mengaktifkan Pemulihan Sistem dan membuat titik pemulihan selama penyetelan. Nilainya diatur ke 30% ruang kosong atau 15% dari total ukuran volume, mana yang lebih kecil. Ukuran maksimum ini statis. Itu tidak berubah saat Anda menambah atau mengurangi ruang kosong, atau saat Anda mengubah ukuran volume.

    Namun, ukurannya dapat disesuaikan secara manual dengan menggunakan alat VSSAdmin dari prompt perintah yang ditinggikan. Misalnya, untuk menambah ruang penyimpanan maksimum di drive C:\ menjadi 15 GB, jalankan perintah berikut:

    VSSAdmin Mengubah Ukuran ShadowStorage /For=C: /On=C: /MaxSize=15GB

    Fitur ini pertama kali muncul di Windows Server®, di mana salinan bayangan dari volume tertentu dapat disimpan di volume lain. Di Windows Vista, salinan bayangan volume disimpan di volume yang sama. Oleh karena itu, volume yang sedang disalin dan volume tempat salinan berada harus cocok.

    Di sisi lain, jumlah ruang penyimpanan salinan bayangan di drive tujuan pencadangan penuh komputer ditetapkan sebesar 30% dari drive penuh. Nilai ini dikendalikan oleh program pencadangan komputer dan tidak dapat diubah secara manual. Ruang penyimpanan salinan bayangan ini digunakan untuk menyimpan salinan inkremental yang dibuat oleh Full Computer Backup.

    Hingga 64 salinan bayangan dapat berada di volume sekaligus, selama ada cukup ruang di area penyimpanan salinan bayangan. Setelah batas ukuran maksimum tercapai, salinan bayangan lama dihapus untuk memberi ruang bagi yang lebih baru. Oleh karena itu, titik pemulihan lama untuk Pemulihan Sistem dihapus saat batas penyimpanan volume kerja tercapai, dan cadangan lama yang dibuat oleh CompletePC Backups dihapus saat drive cadangan mencapai batas tersebut. Selain itu, menyimpan dan mengedit data lain pada drive cadangan dapat mengganggu proses "penuaan" cadangan yang normal, yang menyebabkan penghapusannya dipercepat.


    Jangan mencari Tuhan, bukan di batu, bukan di kuil - carilah Tuhan di dalam dirimu. Seeker, biarkan dia menemukan.