Cum să configurați și să utilizați copierea umbră de volum în Microsoft Windows. De ce copiile umbre nu te salvează de majoritatea ransomware-urilor

Important: Acest articol este destinat cazului în care computerul este configurat cu backup standard în Windows 7.

Restaurarea fișierelor din Windows Shadow Copies

Ați descoperit vreodată că fișierul de care aveți nevoie a fost șters? Că a trecut ceva timp și dosarul a dispărut undeva? Desigur, pot exista multe motive pentru acest lucru. Dar, de obicei, în astfel de momente, primul lucru care îngrijorează mai mult este o altă întrebare decât motivul - „Cum îl pot restabili acum?”. Dacă sunteți un cititor obișnuit al site-ului, atunci probabil că aveți programe de rezervă instalate și configurate care vă vor permite să restaurați fișierul lipsă.

Dar dacă nu aveți astfel de programe sau este prea târziu pentru restaurare, deoarece programul a sincronizat copia cu originalul și a șters acest fișier. Ce atunci? Desigur, aveți în continuare posibilitatea de a utiliza programe pentru a recupera fișierele șterse, dar de obicei aceasta este o procedură destul de lungă, la care ar trebui să apelați numai atunci când nu mai sunt alte opțiuni. Deci de unde ar trebui să începi?

Dacă ați configurat backup standard Windows prin interfața Backup and Restore (vezi linkul) sau dacă ați creat puncte de restaurare, atunci aveți în continuare posibilitatea de a restaura un fișier șters relativ rapid. Faptul este că Windows 7 creează așa-numitele „copii umbre” ale fișierelor care sunt disponibile din interfața „versiunilor anterioare”. Aceste copii umbră nu stochează o singură copie a unui fișier, ci mai multe versiuni anterioare ale acestuia. Acest fapt ne permite să folosim următoarele două metode.

Recuperarea unui fișier șters dintr-o copie umbra a unui director părinte în Windows

  1. Urmați procedura din articolul anterior (prin acest link) pentru a deschide lista versiunilor anterioare pentru folderul care conținea fișierul șters
  2. Selectați o versiune anterioară a directorului, astfel încât să fiți sigur că fișierul se afla în prezent în director. În caz contrar, va trebui să iterați prin versiuni până la prima reușită.
  3. Puteți face clic pe butonul „Copiere” pentru a salva întreaga copie a folderului și a restabili fișierul șters din acesta. Dacă ați făcut clic pe butonul, va apărea o casetă de dialog care vă va cere să specificați o locație de salvare. Dar, trebuie să înțelegeți, o astfel de operațiune poate dura timp dacă directorul ocupă mult spațiu.
  4. De asemenea, puteți face clic pe butonul „Restaurare” pentru a derula înapoi toate fișierele din folder la versiunea selectată. Dar, rețineți că acest lucru este plin de schimbarea altor fișiere.
  5. Dacă nu sunteți mulțumit de ambele opțiuni anterioare, atunci puteți face clic pe butonul „Deschidere” și veți vedea întreaga listă de fișiere ale copiei de rezervă selectate. Puteți trage sau copia fișierul de la distanță oriunde aveți nevoie
  6. După ce restaurați fișierul folosind una dintre metode, închideți caseta de dialog

Recuperarea unui fișier șters dintr-o copie umbra după numele său în Windows

  1. Creați un fișier gol cu ​​același nume și extensie ca fișierul șters și plasați-l în directorul original. Conținutul fișierului nu contează
  2. Faceți clic dreapta pe un fișier gol
  3. În meniul contextual, selectați „Proprietăți”
  4. Faceți clic pe fila „Versiuni anterioare”.
  5. Dacă aveți noroc, veți vedea întreaga listă de copii de rezervă ale fișierului șters. În acest caz, totul depinde de circumstanțe.
  6. Selectați backup-ul dorit (probabil cel mai recent) și faceți clic pe butonul „Restaurare”.
  7. Închideți dialogul

Ambele metode pot fi utilizate. Singurul lucru pe care trebuie să îl înțelegeți este că fișierul restaurat nu va fi neapărat cea mai recentă versiune, deoarece backupul nu are loc tot timpul, ci în anumite momente.

  • Actualizările Windows (remedieri rapide) nu se instalează? Utilitarul de curățare și reparare .Net Framework poate ajuta

Sfaturi tehnice

  • Sfaturi tehnice

  • Nu există multe modalități de a recupera fișierele criptate ca urmare a unui atac ransomware fără a plăti o răscumpărare. Dacă avem noroc, este posibil să existe câteva instrumente gratuite pentru a le restaura, dar opțiunea mai realistă este restaurarea fișierelor din copiile de rezervă. Cu toate acestea, nu toată lumea are o copie de rezervă a fișierelor lor, deși Windows oferă o caracteristică foarte utilă cunoscută sub numele de Shadow Copy, care, pe scurt, este o copie de rezervă a fișierelor dvs. Criminalii cibernetici știu despre asta de mult timp și, prin urmare, la câteva luni după ce atacurile ransomware au devenit populare, primul lucru pe care îl fac atunci când îți infectează computerul este să ștergă o copie umbră a fișierelor tale înainte de a începe să cripteze informațiile tale.

    Există o serie de tehnologii care pot fi aplicate pentru a opri atacurile ransomware: unele dintre ele sunt aproape inutile, cum ar fi semnăturile sau euristica (acestea sunt primele lucruri pe care autorii de programe malware le verifică înainte de a fi „eliberate”), altele pot fi uneori mai eficiente , dar chiar și o combinație a tuturor acestor tehnici nu garantează că vei fi protejat de toate astfel de atacuri.

    Cu mai bine de 2 ani în urmă, PandaLabs a adoptat o abordare simplă, dar eficientă: dacă un proces încearcă să ștergă copii umbre, atunci cel mai probabil (dar nu întotdeauna, apropo) avem de-a face cu malware și cel mai probabil cu criptograf. În zilele noastre, majoritatea familiilor de ransomware elimină copiile umbre, deoarece dacă acest lucru nu se face, atunci oamenii nu vor plăti răscumpărarea, deoarece își pot restaura fișierele gratuit. Luați în considerare câte infecții au fost oprite în laboratorul nostru cu această abordare. Este logic să presupunem că acest număr ar trebui să crească exponențial, deoarece. numărul de atacuri ransomware care utilizează această tehnică crește, de asemenea, rapid. De exemplu, iată numărul de atacuri pe care le-am blocat în ultimele 12 luni cu abordarea noastră:

    Dar pe diagramă vedem exact opusul a ceea ce ne așteptam. Cum este posibil acest lucru? De fapt, există o explicație foarte simplă pentru acest „fenomen”: folosim această abordare ca „ultimă soluție” atunci când nicio altă metodă de securitate nu ar putea detecta ceva suspect și, prin urmare, este declanșată această regulă, care blochează atacul ransomware. De asemenea, folosim această abordare în scopuri interne, în urma căreia putem analiza mai detaliat acele atacuri care au fost blocate la „ultima frontieră”, și apoi îmbunătățim toate nivelurile de securitate anterioare. De asemenea, folosim această abordare pentru a evalua cât de bine sau de prost oprim ransomware-ul: cu alte cuvinte, cu cât valorile sunt mai mici, cu atât mai bine funcționează tehnologiile noastre de bază. Deci, după cum puteți vedea, eficiența muncii noastre se îmbunătățește.

    Articol original.

    Nu este întotdeauna necesar să instalați programe terțe suplimentare în Windows 7 pentru a recupera datele șterse sau suprascrise. Seven îți permite să faci asta prin mijloacele tale. Dacă din greșeală ați șters sau suprascris fișiere, să spunem documente Microsoft Office sau fotografii de familie și doriți să le restaurați sau să le readuceți la starea inițială, atunci nu vă grăbiți să instalați software special pentru această procedură.

    Recuperarea datelor din Windows 7 este posibilă prin intermediul sistemului în sine, pentru aceasta, dezvoltatorii Microsoft au adăugat un instrument convenabil și ușor de utilizat acestei versiuni a sistemului de operare - copii shadow (Serviciul de copiere umbră de volum, prescurtat ca VVS). Cu ajutorul copierilor umbre, puteți rapid, cu doar câteva clicuri de mouse, să reanimați fișierele șterse sau suprascrise stocate pe hard diskul computerului.

    Nu confundați copiile umbra cu o copie de rezervă completă a Windows 7. Acest instrument nu înlocuiește o copie de rezervă completă, ci păstrează doar duplicatele acelor fișiere care au fost modificate sau șterse. În cele „șapte” acest instrument funcționează pe principiul punctelor de restaurare. Probabil că toți știți despre aceste puncte, cu ajutorul cărora puteți derula înapoi sistemul la un anumit punct. Deci, funcția VVS creează copii umbră ale datelor, de exemplu, înainte de a actualiza sistemul de operare. Acesta este un instrument de recuperare a datelor Windows 7 foarte util, dar numai dacă ați șters și suprascris accidental fișiere. Serviciul Volum Shadow Copy poate restaura până la șaizeci și patru de copii anterioare ale fiecărui fișier șters sau modificat.

    Restaurarea fișierelor folosind Windows 7 Shadow Copies

    Pentru a începe restaurarea fișierelor din copii umbre, urmați acești pași: Faceți clic dreapta pe fișierul sau directorul dorit care conține datele de recuperare. Apoi, în meniul contextual care se deschide, selectați elementul „Proprietăți”, apoi accesați fila „Versiuni anterioare”. Dacă există copii shadow pentru fișierul sau folderul în sistem, veți vedea o listă a acestora. Din păcate, nu am putut găsi copii umbră ale fișierelor în sistemul nostru, deoarece este practic proaspăt, adică un site instalat special pentru site.

    Pentru a restabili un fișier din copia dorită, faceți dublu clic pe el cu butonul stâng al mouse-ului și va fi restaurat.

    Este de remarcat faptul că utilizatorul poate personaliza acest instrument. De exemplu, puteți defini unde sunt stocate copiile umbra ale fișierelor pe hard disk. În plus, apăsând combinația de taste „Win ​​+Pause” și mergând la secțiunea „Protecție a sistemului”, puteți spune Windows 7 să protejeze discurile sau partițiile de hard disk și să determine pentru fiecare dintre ele cantitatea de memorie pe care sistemul de operare îl are poate folosi pentru asta.

    Sper că creați copii umbră, ale întregului disc, nu pe același disc cu sistemul, pentru a le vizualiza?

    De obicei, aceste copii sunt imposibil de vizualizat, precum și fișierele arhivate, dar este clar că spațiul este ocupat.

    Gestionarea spațiului de copiere umbră

    Spațiul de stocare pentru copii shadow este alocat separat pe volumele de lucru și pe discul de rezervă pentru o copie de rezervă completă a sistemului. Spațiul folosit, alocat și maxim de copiere umbră poate fi verificat rulând următoarea comandă dintr-un prompt de comandă ridicat:

    Lista VSSAdmin ShadowStorage

    Spațiu folosit - spațiul ocupat în prezent de copii umbră; alocat - spațiu rezervat pentru copii umbră (și nu este folosit pentru alte sarcini); maxim - pragul superior dincolo de care volumul de copii umbră nu poate crește.

    Alocarea spațiului pentru copii shadow este automată, ceea ce înseamnă că nu poate fi setată de utilizator. Noul spațiu este alocat în bucăți fixe pe măsură ce spațiul alocat anterior este ocupat. Din acest motiv, valoarea raportată pentru spațiul folosit este întotdeauna mai mică decât spațiul alocat.

    Pentru volumele scratch, spațiul de stocare maxim permis pentru copii shadow este determinat atunci când este creată prima copie shadow - de obicei prima dată când activați Restaurarea sistemului și creați un punct de restaurare în timpul instalării. Valoarea este setată la 30% spațiu liber sau 15% din dimensiunea totală a volumului, oricare dintre acestea este mai mică. Această dimensiune maximă este statică. Nu se schimbă atunci când creșteți sau micșorați spațiul liber sau când modificați dimensiunea volumului.

    Cu toate acestea, dimensiunea poate fi ajustată manual folosind instrumentul VSSAdmin dintr-un prompt de comandă ridicat. De exemplu, pentru a crește spațiul de stocare maxim pe unitatea C:\ la 15 GB, rulați următoarea comandă:

    VSSAdmin Redimensionează ShadowStorage /Pentru=C: /On=C: /MaxSize=15GB

    Această caracteristică a apărut pentru prima dată pe Windows Server®, unde copiile umbre ale unui anumit volum puteau fi stocate pe alt volum. În Windows Vista, copiile umbra ale volumului sunt stocate pe același volum. Prin urmare, volumul care se copiază și volumul pe care se află copiile trebuie să se potrivească.

    Pe de altă parte, cantitatea de spațiu de stocare pentru copierea umbră de pe unitatea de destinație de rezervă completă a computerului este fixată la 30% din unitatea completă. Această valoare este controlată de programul de backup al computerului și nu poate fi modificată manual. Acest spațiu de stocare pentru copii umbra este folosit pentru a stoca copii incrementale create de Full Computer Backup.

    Până la 64 de copii umbră pot locui pe un volum la un moment dat, atâta timp cât există suficient spațiu în zona de stocare a copierii umbre. După ce limita de dimensiune maximă este atinsă, copiile umbră mai vechi sunt șterse pentru a face loc celor mai noi. Prin urmare, vechile puncte de restaurare pentru System Restore sunt șterse atunci când limita de stocare a volumului de lucru este atinsă, iar vechile copii de rezervă create de CompletePC Backups sunt șterse când unitatea de rezervă atinge această limită. În plus, stocarea și editarea altor date pe o unitate de rezervă poate interfera cu procesul normal de „îmbătrânire” al backup-urilor, ducând la ștergerea lor accelerată.


    Nu-l căuta pe Dumnezeu, nici într-o piatră, nici într-un templu - caută-L pe Dumnezeu în tine. Căutător, lasă-l să găsească.