Windows VSS и помощната програма vshadow - Увеличаване на шансовете за възстановяване на файлове след криптиращ рансъмуер

Сборник от бележки по информационни технологии

Веднага трябва да се направи важно предупреждение, че този метод ще помогне само ако потребителите нямат пълни административни права на своите компютри. Тъй като потребител с администраторски права е в състояние, често без да осъзнава сам, да стартира злонамерен софтуер, който в момента е в състояние да работи с VSS моментни снимки, просто ги изтрива.

И така, имаме нужда от помощна програма vshadow.exe, които могат да бъдат получени от опаковката Windows SDK. Характерното за тази програма е, че въпреки че версиите на vshadow.exe не се различават в различните версии на ADK, размерът на изпълнимия файл е различен в различните версии на ADK. Следователно, за да сведем до минимум възможните сблъсъци при работата на помощната програма при различни версии на Windows OS, ще използваме "родния" vshadow за всяка версия на OS.

Нека да разложим съответните копия на файловете vshadow.exe в подпапки в зависимост от версията и битността на Windows OS. След това ще създадем PowerShell скрипт, който ще отговаря за разпространението на необходимото копие на vshadow до клиентски компютри в корпоративната мрежа с паралелно активиране на механизма за възстановяване на точки.

Пример за такъв PS скрипт:

Скриптът трябва да бъде разпространен на клиентски компютри за последващо изпълнение по някакъв удобен начин. Традиционно използваме възможностите за това System Center 2012 R2 Configuration Manager (SCCM). В SCCM се създава пакет, в който програмата е конфигурирана да изпълнява скрипта, както следва:

Моля, обърнете внимание, че скриптът използва виртуалната директория "$ env: SystemRoot \ Sysnative", която е достъпна само в 64-битова ОС. Трябваше да го използвам поради факта, че скриптовете на Powershell в SCCM могат да се изпълняват само в 32-битов контекст.

След разпространението на vshadow трябва да планирате помощната програма да изпълнява периодично VSS снимки. Нека използваме механизма GPP в компютърната конфигурация и създайте задача за Windows планировчика.

Задачата трябва да се изпълнява от името на NT ВЛАСТ \ СИСТЕМА.

Настроихме създаването на моментна снимка всеки ден в момента, в който се нуждаем, командата за създаване на моментна снимка:

В същото време активирайте и конфигурирайте насочването Насочване на ниво елемент по такъв начин, че задачата за планиране да се създава на клиентския компютър само ако системата има помощна програма vshadow.exe.

По аналогия, нека направим още една задача на планировщика, която ще отговаря за изтриването на стари VSS снимки, например веднъж седмично с командата (правилата за определяне на моментната снимка са остарели, ние ги разпространихме на компютрите по-рано, използвайки гореспоменатия PS скрипт):

Какво да направите, ако потребителят „е хванал рансъмуера“?
Отваряме команден ред от името на административен акаунт и разглеждаме наличните VSS снимки с помощта на командата:

В този пример виждаме, че 1 моментна снимка ни е достъпна.

За да използвате данните в моментна снимка, монтирайте ги, например, като диск “х: "Команда:

Свързаното устройство ще бъде само за четене и можете да копирате всички необходими данни с всеки файлов мениджър.

За да изключите диска, използвайте командата:

Това може би е всичко. Успешно възстановяване!