Файл заражен что это такое
Обновлено: 21.11.2024
Вирусы и другие виды вредоносных программ каждый день несут ответственность за бесчисленные ужасные случаи потери данных, и даже технически подкованные пользователи с большим опытом за плечами не полностью защищены от них.
Но не все страшные истории с потерей данных заканчиваются плохо. Если вы знаете, как восстанавливать зараженные вирусом файлы, у вас есть неплохие шансы переломить ужасную ситуацию и сохранить ваши ценные данные, и именно этому вас научит эта статья.
Часть 1. Не все вирусы одинаковы
В этой статье мы используем термин «вирус» в широком смысле, чтобы охватить широкий спектр вредоносных программ, также называемых вредоносными программами.
💡 По данным Института AV-TEST, каждый день создается более 350 000 новых вариантов вредоносного ПО, поэтому мы не можем описать каждое вредоносное ПО, с которым вы можете столкнуться.
Вместо этого давайте сосредоточимся только на наиболее важных классах вирусов и их способности вызывать потерю данных.
Вирусы, заражающие файлы (✅ Восстанавливаемые)
Решение. Для начала следует отключить зараженный диск и подключить его как несистемный к изолированному компьютеру. Затем вы можете попытаться выполнить восстановление данных, используя готовое программное обеспечение для восстановления данных.
Макровирусы (✅ Восстанавливаемые)
Этот тип вируса обычно встречается в документах Office, например созданных с помощью Word или Excel. Многие документы Office имеют встроенную поддержку кода Visual Basic, что позволяет киберпреступникам скрывать в них вирусы. Когда пользователь открывает зараженный документ, он также открывает спрятанный внутри вирус, позволяя ему получить доступ к другим частям системы.
Решение. Проблем с макровирусами можно избежать, отключив поддержку Visual Basic в приложениях Office. Уже зараженные документы, которые были повреждены, часто можно восстановить с помощью программного обеспечения для восстановления данных.
Вирусы веб-скриптов (✅ Восстанавливаемые)
Вирусы, выполняющие веб-скрипты, устанавливаются непосредственно из Интернета, когда вы посещаете вредоносный веб-сайт или загружаете зараженный файл. Такие вирусы могут загружать ваши данные на удаленный сервер, а затем удалять их, причиняя еще больший ущерб.
Решение. Чтобы остановить вирусы, использующие веб-скрипты, отключите компьютер от Интернета, отсоединив сетевой кабель. Затем просканируйте диск на наличие удаленных данных с помощью программного обеспечения для восстановления данных и сохраните все восстановленные файлы. Если вы хотите быть в большей безопасности, вы можете отформатировать зараженный диск и переустановить всю операционную систему.
Вирусы загрузочного сектора (✅ Восстанавливаемые)
Вирусы загрузочного сектора записываются непосредственно в загрузочный сектор, что приводит к их запуску при каждом запуске зараженного компьютера. Поскольку этот класс вирусов часто блокирует доступ к операционной системе, восстановление потерянных файлов немного сложнее, но не невозможно.
Решение. Вам следует подключить зараженный диск к другому ПК и просканировать его с помощью программного обеспечения для восстановления данных. После завершения восстановления рекомендуем отформатировать весь диск, включая загрузочный сектор, чтобы избавиться от вируса.
Резидентные вирусы (❓ потенциально извлекаемые)
Резидентные вирусы прячутся в памяти вашего компьютера (ОЗУ), что позволяет им легко распространяться на другие части вашего компьютера и заражать все данные, с которыми они соприкасаются.
Решение: Восстановление утерянных данных после заражения резидентным вирусом, к сожалению, не всегда возможно. В то время как некоторые резидентные вирусы только блокируют логический доступ к файлам, изменяя их атрибуты и удаляя указатели, которые используются для доступа к ним, другие гораздо более разрушительны и могут безвозвратно удалять файлы, с которыми они сталкиваются.
Шифровать вирусы (❓ потенциально восстанавливаемые)
К вирусам-шифровальщикам относится наиболее обсуждаемый на сегодняшний день тип вредоносных программ: программы-вымогатели. Цель программ-вымогателей — заблокировать доступ к данным, зашифровав их с помощью надежного алгоритма шифрования. Затем злоумышленники угрожают жертве сделать зашифрованные данные невосстановимыми, если не будет выплачен выкуп.
Решение. Некоторые вирусы-шифровальщики основаны на слабых или плохо реализованных алгоритмах шифрования, которые можно легко нейтрализовать с помощью доступных дешифраторов. Однако существует также множество штаммов программ-вымогателей, реализация шифрования файлов которых практически безупречна, и поэтому их невозможно победить.
Вирусы-заполнители (❌ безвозвратные)
Этот довольно редкий класс вирусов характеризуется неутолимой жаждой свободного места на диске. Когда вирус-заполнитель обнаруживает незанятое место на диске, он незаметно внедряется туда, что затрудняет его обнаружение.
Решение. Вирусы Spacefiller не всегда наносят прямой ущерб, но они могут перезаписывать файлы, которые были удалены (как намеренно, так и непреднамеренно) некоторое время назад, что делает их восстановление невозможным даже с помощью самого лучшего программного обеспечения для восстановления данных.
Перезаписать вирусы (❌ безвозвратно)
Как следует из названия, перезаписывающие вирусы стремятся нанести ущерб, перезаписывая системные файлы и пользовательские данные. Один из часто встречающихся вирусов перезаписи называется LoveLetter. Этот опасный вирус может действовать как троян и почтовый червь, что позволяет ему быстро распространяться по нескольким сетям.
Решение. Поскольку восстановить перезаписанные файлы невозможно, лучшее, что вы можете сделать, — предотвратить дальнейшее распространение вируса перезаписи, с которым вы столкнулись, отформатировав зараженный диск.
Часть 2. Как восстановить зараженные вирусом файлы?
Как мы объясняли в первой части этой статьи, не все вирусы одинаковы, поэтому нельзя ожидать, что единая стратегия восстановления поможет справиться со всеми случаями вирусного заражения, с которыми вы можете столкнуться.
В этой части мы опишем несколько распространенных сценариев заражения вирусом и предоставим подробные пошаговые инструкции, чтобы объяснить, как вы можете восстановиться после них.
Восстановление скрытых файлов с зараженного вирусом USB-накопителя
Поскольку USB-накопители в основном используются для передачи файлов между компьютерами, они часто заражаются вирусами, троянскими программами и другими вредоносными программами.
Если вы вдруг потеряли файлы, хранившиеся на USB-накопителе, скорее всего, они были скрыты одним из вирусов, описанных выше. Хорошая новость заключается в том, что отобразить их все же можно, если действовать быстро и следовать нашим инструкциям.
Сбросить все атрибуты файлов, чтобы отобразить файлы, скрытые вирусом:
Если вам повезет, то это все, что вам нужно сделать, чтобы восстановить доступ к вашим скрытым файлам. Эти же инструкции могут также помочь вам избавиться от так называемого вируса Recycler, часто встречающегося варианта червя W32.Lecna.H.
Безопасное восстановление файлов из EXE-вируса
Вирусы EXE являются наиболее распространенным типом вирусов, заражающих файлы. Их можно найти на вредоносных веб-сайтах, найти в комплекте с сомнительным программным обеспечением или замаскировать под настоящие файлы на сайтах для обмена файлами.
Как и все другие вирусы, заражающие файлы, EXE-вирусы могут отключать части операционной системы, скрывать важные файлы или даже вызывать масштабное повреждение данных. В то время как файлы, скрытые трояном, обычно можно восстановить только с помощью команды attrib (см. предыдущий метод), для восстановления от EXE-вируса обычно требуется надлежащее программное обеспечение для восстановления данных.
Шаг 1. Установите программное обеспечение для восстановления данных
Существует множество программных решений для восстановления данных, которые могут помочь вам безопасно восстановить файлы от EXE-вируса, но мы рекомендуем Disk Drill.
Почему? Потому что Disk Drill прост в использовании, но достаточно мощен, чтобы восстанавливать более 400 форматов файлов из всех распространенных файловых систем Windows, macOS и Linux. Лучше всего то, что вы можете использовать его для предварительного просмотра неограниченного количества файлов, чтобы проверить их возможность восстановления, прежде чем платить деньги, чтобы вернуть их.
Просто убедитесь, что Disk Drill установлен на другом устройстве хранения, а не на том, которое вы хотите восстановить, чтобы избежать перезаписи тех же самых данных, которые вы пытаетесь сохранить.
Шаг 2. Просканируйте зараженный диск
Предполагая, что вы выбрали Disk Drill в качестве предпочтительного программного обеспечения для восстановления данных, все, что вам нужно для сканирования зараженного диска, — это выбрать его и нажать кнопку «Поиск потерянных данных». Disk Drill автоматически запустит все алгоритмы восстановления в оптимальном порядке.
Шаг 3. Выберите файлы для восстановления
В зависимости от размера вашего устройства хранения Disk Drill может потребоваться некоторое время, чтобы завершить сканирование потерянных данных, поэтому наберитесь терпения и дайте ему выполнить свою работу. После завершения сканирования вы можете просмотреть все восстанавливаемые файлы и выбрать те, которые хотите вернуть.
Используйте удобные фильтры результатов поиска Disk Drill, чтобы легко найти данные, которые вы хотите восстановить, скрывая при этом все остальное.
Шаг 4. Восстановите выбранные файлы в безопасном месте
Далее нажмите кнопку «Восстановить», чтобы восстановить выбранные файлы. Disk Drill попросит вас указать каталог для восстановления, и вам следует выбрать папку, расположенную на другом устройстве хранения, отличном от того, с которого вы восстанавливаетесь. Опять же, это делается для того, чтобы избежать перезаписи тех же файлов, которые вы пытаетесь восстановить.
Шаг 5. Отформатируйте зараженный диск
Наконец, вы должны отформатировать зараженный диск, чтобы предотвратить распространение вируса. Мы рекомендуем вам выполнить этот шаг, даже если вы уже удалили вирус с помощью решения для защиты от вредоносных программ, такого как Microsoft Defender, потому что вы не хотите рисковать, когда речь идет о вирусах.
Восстановление файлов, зараженных программами-вымогателями
Есть веская причина, по которой атаки программ-вымогателей уже много лет попадают в заголовки газет: от них очень сложно восстановиться. Было много громких случаев, когда инфицированные лица и организации решили заплатить солидный выкуп только для того, чтобы восстановить доступ к своим потерянным файлам.
Но выплата выкупа не гарантирует, что вы или ваша организация вернете какие-либо данные, как объяснили в ФБР. Неудивительно, что ФБР не поддерживает выплату выкупа в ответ на атаку программы-вымогателя. Вместо этого следует попытаться расшифровать файлы и, если это не удастся, восстановить их из резервной копии.
Если вы пытаетесь восстановить зараженные программой-вымогателем файлы с системного диска, мы рекомендуем вам отключить его и расшифровать как дополнительный диск с чистого компьютера.
Вариант 2. Восстановление файлов, зараженных программой-вымогателем, из резервной копии:
Вы не можете найти подходящий дешифратор для конкретной разновидности программ-вымогателей, зашифровавших ваши файлы? В этом случае единственным вашим спасением является существующая резервная копия (локальная или облачная).
Прежде чем восстанавливать потерянные файлы из резервной копии, убедитесь, что программа-вымогатель, ответственная за их потерю, полностью удалена из вашей системы. Рекомендуется форматировать все потенциально зараженные устройства хранения и переустанавливать операционную систему после каждого заражения.
Фактические шаги, которые необходимо предпринять для восстановления данных, полностью зависят от выбранного вами метода резервного копирования данных. При восстановлении из локальной резервной копии вы можете просто перетащить файлы. С другой стороны, большинство облачных решений для резервного копирования поставляются с инструментом резервного копирования, который поможет вам синхронизировать локальные и удаленные файлы.
Заключение
Существует бесчисленное множество различных типов вирусов, некоторые из которых более опасны, чем другие. В этой статье мы описали несколько методов восстановления, которые помогут вам восстановить доступ к файлам, которые были скрыты, удалены и зашифрованы. Надеюсь, это будет ваша последняя встреча с вирусом или, по крайней мере, с потерей данных, вызванной вирусом.
К сожалению, иногда может случиться так, что антивирус, установленный на вашем компьютере с последними обновлениями, не может обнаружить новый вирус, червя или троянскую программу. Печально, но факт: никакое антивирусное программное обеспечение не дает вам 100% гарантии полной безопасности. Если ваш компьютер все-таки заразился, вам необходимо установить факт заражения, идентифицировать зараженный файл и отправить его поставщику, чей продукт пропустил вредоносную программу и не смог защитить ваш компьютер.
Однако пользователи самостоятельно, как правило, не могут обнаружить, что их компьютер заражен, если им не помогают антивирусные решения. Многие черви и трояны обычно никак не выдают своего присутствия. В порядке исключения некоторые троянцы сообщают пользователю о заражении компьютера напрямую — они могут шифровать личные файлы пользователя, чтобы потребовать выкуп за утилиту расшифровки. Однако троянец, как правило, скрытно внедряется в систему, часто использует специальные методы маскировки, а также скрытно осуществляет свою деятельность. Таким образом, факт заражения может быть установлен только по косвенным признакам.
Симптомы заражения
Увеличение исходящего веб-трафика является общим признаком заражения; это относится как к отдельным компьютерам, так и к корпоративным сетям. Если пользователи не работают в Интернете в течение определенного периода времени (например, ночью), но веб-трафик продолжается, это может означать, что кто-то или кто-то еще активен в системе, и, скорее всего, это вредоносная активность.Если в системе настроен брандмауэр, попытки неизвестных приложений установить подключение к Интернету могут свидетельствовать о заражении. Многочисленные рекламные окна, всплывающие при посещении веб-сайтов, могут сигнализировать о том, что в системе присутствует рекламное ПО. Если компьютер часто зависает или дает сбой, это также может быть связано с активностью вредоносного ПО. Такие сбои чаще связаны с аппаратными или программными сбоями, а не с вирусной активностью. Однако, если подобные симптомы возникают одновременно на нескольких или многих компьютерах в сети, сопровождаясь резким увеличением внутреннего трафика, это, скорее всего, вызвано распространением по сети сетевого червя или трояна-бэкдора.
О заражении также могут косвенно свидетельствовать симптомы, не связанные с компьютером, такие как счета за телефонные звонки, которые никто не делал, или SMS-сообщения, которые никто не отправлял. Такие факты могут свидетельствовать о том, что в компьютере или мобильном телефоне активен телефонный троян. Если к вашему личному банковскому счету был получен несанкционированный доступ или ваша кредитная карта использовалась без вашего разрешения, это может означать, что в вашу систему проникло шпионское ПО.
Что делать
Первое, что нужно сделать, это убедиться, что антивирусная база обновлена, и просканировать компьютер. Если это не помогает, антивирусные решения других производителей могут справиться с этой задачей. Многие производители антивирусных решений предлагают бесплатные версии своих продуктов для пробного или одноразового сканирования — мы рекомендуем вам запустить один из этих продуктов на вашем компьютере. Если он обнаруживает вирус или троянскую программу, обязательно отправьте копию зараженного файла производителю антивирусного решения, которое не смогло его обнаружить. Это поможет этому поставщику быстрее разработать защиту от этой угрозы и защитить других пользователей, использующих этот антивирус, от заражения.
Если альтернативный антивирус не обнаруживает никаких вредоносных программ, рекомендуется перед началом поиска зараженного файла отключить компьютер от Интернета или локальной сети, отключить Wi-Fi-соединение и модем, если он есть( с). Не используйте сеть без крайней необходимости. Ни при каких обстоятельствах не пользуйтесь системами веб-платежей или услугами интернет-банкинга. Избегайте ссылок на какие-либо личные или конфиденциальные данные; не пользуйтесь никакими веб-сервисами, требующими вашего отображаемого имени и пароля.
Как найти зараженный файл?
Обнаружение вируса или троянской программы на вашем компьютере в некоторых случаях может быть сложной задачей, требующей технической квалификации; однако в других случаях это может быть довольно простой задачей — все зависит от степени сложности вредоносного ПО и методов, используемых для сокрытия встроенного в систему вредоносного кода. В сложных случаях, когда используются специальные методы (например, руткит-технологии) для маскировки и сокрытия вредоносного кода в системе, непрофессионал не может отследить зараженный файл. Эта проблема может потребовать специальных утилит или действий, таких как подключение жесткого диска к другому компьютеру или загрузка системы с компакт-диска. Однако, если рядом находится обычный червь или простой троян, вы можете отследить его с помощью довольно простых методов.
Подавляющему большинству червей и троянских программ необходимо получить контроль при запуске системы. Для этого есть два основных способа:
- Ссылка на зараженный файл записывается в ключи автозапуска реестра Windows;
- Зараженный файл копируется в папку автозапуска в Windows.
Самые распространенные папки автозапуска в Windows 2000 и XP следующие:
%Documents and Settings%\%user name%\Start Menu\Programs\Startup\
%Documents and Settings%\All Users\Start Menu\Programs\Startup\
Ключей автозапуска в системном реестре довольно много, самые популярные ключи это Run, RunService, RunOnce и RunServiceOnce, расположенные в следующих папках реестра:
Скорее всего, поиск по указанным выше адресам даст несколько ключей с именами, не дающими много информации, и пути к исполняемым файлам. Особое внимание следует уделить файлам, расположенным в системном каталоге Windows или в корневом каталоге. Запомните имена этих файлов, они понадобятся вам в дальнейшем анализе.
Также распространена запись в следующий ключ:
Значение этого ключа по умолчанию: «%1″ %*».
Системный (и системный 32) каталог и корневой каталог Windows являются наиболее удобным местом для установки червей и троянов. Это связано с двумя фактами: содержимое этих каталогов не отображается в проводнике по умолчанию, и в этих каталогах находится огромное количество различных системных файлов, функции которых неспециалисту совершенно неизвестны. Даже опытному пользователю, вероятно, будет трудно определить, является ли файл с именем winkrnl386.exe частью операционной системы или посторонним для нее.
Рекомендуется использовать любой файловый менеджер, который может сортировать файлы по дате создания/изменения, а также сортировать файлы, расположенные в указанных выше каталогах. Это отобразит вверху каталога все недавно созданные и измененные файлы — именно эти файлы будут интересны исследователю. Если какие-либо из этих файлов идентичны тем, которые встречаются в ключах автозапуска, это первый тревожный звонок.
Опытные пользователи также могут проверить открытые сетевые порты с помощью стандартной утилиты netstat. Рекомендуется установить брандмауэр и сканировать процессы, осуществляющие сетевую активность. Также рекомендуется проверять список активных процессов с помощью специализированных утилит с расширенным функционалом, а не стандартными утилитами Windows — многие трояны успешно избегают обнаружения стандартными утилитами Windows.
Читайте также: