Владелец удалил файлы или заблокировал к ним доступ, либо в ссылке опечатка

Обновлено: 06.07.2024

Программы-вымогатели – это тип вредоносного программного обеспечения, которое заражает компьютер и ограничивает доступ пользователей к нему до тех пор, пока за его разблокировку не будет выплачен выкуп. Варианты программ-вымогателей наблюдались в течение нескольких лет и часто пытаются вымогать деньги у жертв, отображая предупреждение на экране. Как правило, в этих предупреждениях указывается, что системы пользователя заблокированы или файлы пользователя зашифрованы. Пользователям сообщают, что если не будет выплачен выкуп, доступ не будет восстановлен. Выкуп, требуемый от отдельных лиц, сильно различается, но часто составляет от 200 до 400 долларов США и должен выплачиваться в виртуальной валюте, например в биткойнах.

Программы-вымогатели часто распространяются через фишинговые электронные письма, содержащие вредоносные вложения, или путем загрузки с диска. Попутная загрузка происходит, когда пользователь неосознанно посещает зараженный веб-сайт, а затем загружает и устанавливает вредоносное ПО без ведома пользователя.

Криптовалюта-вымогатель — разновидность вредоносного ПО, которое шифрует файлы, — распространяется аналогичными способами, а также через социальные сети, например веб-приложения для обмена мгновенными сообщениями. Кроме того, наблюдались новые методы заражения программами-вымогателями. Например, уязвимые веб-серверы использовались как точки входа для получения доступа к сети организации.

Авторы программ-вымогателей внушают своим жертвам страх и панику, заставляя их переходить по ссылке или платить выкуп, а системы пользователей могут быть заражены дополнительными вредоносными программами. Программы-вымогатели отображают пугающие сообщения, подобные приведенным ниже:

«Ваш компьютер заражен вирусом. Нажмите здесь, чтобы решить проблему».
«Ваш компьютер использовался для посещения веб-сайтов с незаконным содержанием. Чтобы разблокировать компьютер, вы должны заплатить штраф в размере 100 долларов США».
«Все файлы на вашем компьютере зашифрованы. Вы должны заплатить этот выкуп в течение 72 часов, чтобы восстановить доступ к своим данным».

Программы-вымогатели нацелены не только на домашних пользователей. предприятия также могут заразиться программами-вымогателями, что приведет к негативным последствиям, в том числе

временная или постоянная потеря конфиденциальной или служебной информации,
нарушение нормальной работы,
финансовые убытки, понесенные при восстановлении систем и файлов, и
потенциальный ущерб репутации организации.

Выплата выкупа не гарантирует, что зашифрованные файлы будут раскрыты; это только гарантирует, что злоумышленники получат деньги жертвы, а в некоторых случаях и их банковскую информацию. Кроме того, расшифровка файлов не означает, что само заражение вредоносным ПО было удалено.

Заражение может иметь разрушительные последствия для человека или организации, а восстановление может быть сложным процессом, для которого могут потребоваться услуги авторитетного специалиста по восстановлению данных.

US-CERT рекомендует пользователям и администраторам принимать следующие превентивные меры для защиты своих компьютерных сетей от заражения программами-вымогателями:

Используйте план резервного копирования и восстановления всей важной информации. Выполняйте и тестируйте регулярное резервное копирование, чтобы ограничить влияние потери данных или системы и ускорить процесс восстановления. Обратите внимание, что резервные копии, подключенные к сети, также могут быть затронуты программами-вымогателями; важные резервные копии должны быть изолированы от сети для оптимальной защиты.
Обновляйте операционную систему и программное обеспечение с помощью последних исправлений. Уязвимые приложения и операционные системы являются целями большинства атак. Обеспечение того, чтобы они были исправлены последними обновлениями, значительно сокращает количество уязвимых точек входа, доступных злоумышленнику.
Обновляйте антивирусное программное обеспечение и сканируйте все программное обеспечение, загруженное из Интернета, перед запуском.
Ограничить возможность (разрешения) пользователей устанавливать и запускать нежелательные программные приложения и применять принцип «наименьших привилегий» ко всем системам и службам. Ограничение этих привилегий может помешать запуску вредоносных программ или ограничить их распространение по сети.
Не включайте макросы из вложений электронной почты. Если пользователь откроет вложение и активирует макросы, встроенный код запустит вредоносное ПО на компьютере.
Не переходите по нежелательным веб-ссылкам в электронных письмах. Дополнительную информацию см. в ресурсах по фишингу на этом веб-сайте.

Частным лицам или организациям не рекомендуется платить выкуп, так как это не гарантирует, что файлы будут разглашены. Однако ФБР сообщило, что, если речь идет о Cryptolocker, Cryptowall или других сложных формах программ-вымогателей, жертва может не иметь возможности вернуть свои данные без уплаты выкупа.

В этой статье описывается, почему не удается удалить файл или папку на томе с файловой системой NTFS. Он также помогает решить эту проблему.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 320081

Внутренне NTFS рассматривает папки как файлы особого типа. Поэтому слово файл в этой статье означает либо файл, либо папку.

Причина 1: файл использует ACL

Вы не можете удалить файл, если он использует список управления доступом (ACL). Чтобы решить эту проблему, измените права доступа к файлу. Возможно, вам придется стать владельцем файлов, чтобы изменить разрешения.

Администраторы имеют неявную возможность стать владельцем любого файла, даже если им не были предоставлены какие-либо разрешения на доступ к этому файлу явным образом. Владельцы файлов имеют неявную возможность изменять права доступа к файлу, даже если им явно не предоставлены какие-либо права доступа к файлу. Таким образом, вам, возможно, придется стать владельцем файла, дать себе разрешение на удаление файла, а затем удалить файл.

Вы не можете использовать определенные инструменты безопасности для отображения или изменения разрешений, поскольку файл имеет неканонический ACL

Чтобы обойти эту проблему, используйте другое средство (например, более позднюю сборку Cacls.exe).

Записи управления доступом (ACE) в ACL имеют определенную предпочтительную последовательность в зависимости от их типа. Например, элементы управления доступом, запрещающие доступ, обычно предшествуют элементам управления доступом, предоставляющим доступ. Однако ничто не мешает программе написать ACL, содержащий ACE в любой произвольной последовательности. В некоторых более ранних версиях Windows возникали проблемы, когда Windows пыталась прочитать эти неканонические списки управления доступом. Иногда вы не можете правильно изменить эти ACL с помощью графического редактора безопасности Microsoft Windows Explorer. Эта проблема была исправлена в более поздних версиях Windows. Если у вас возникла эта проблема, используйте самую последнюю версию Cacls.exe. Даже если вы не можете отобразить или отредактировать ACL на месте, вы можете написать новый ACL, чтобы получить доступ к файлу.

Причина 2: файл используется

Вы не можете удалить файл, если он используется. Чтобы решить эту проблему, определите процесс, который имеет открытый дескриптор, а затем закройте этот процесс.

В зависимости от того, как файл открыт, вы не сможете удалить используемый файл. Например, файл открыт для монопольного доступа вместо общего доступа. Вы можете использовать различные инструменты для определения процессов, которые имеют открытые дескрипторы файлов в любое время.

Симптомы этой проблемы могут различаться. Вы можете использовать команду Удалить, чтобы удалить файл. Но файл не удаляется до тех пор, пока процесс, который открыл файл, не освободит файл. Кроме того, вы не сможете получить доступ к диалоговому окну безопасности для файла, ожидающего удаления. Чтобы решить эту проблему, определите процесс, который имеет открытый дескриптор, а затем закройте этот процесс.

Причина 3: повреждение файловой системы препятствует доступу к файлу

Вы не можете удалить файл, если файловая система повреждена. Чтобы решить эту проблему, запустите утилиту Chkdsk на томе диска, чтобы исправить все ошибки.

Следующие причины могут повредить файловую систему и поставить файлы в проблемное состояние:

Плохие сектора на диске
Другое неисправное оборудование
Ошибки программного обеспечения

Обычные операции могут завершаться сбоем по разным причинам. Когда файловая система обнаруживает повреждение, она регистрирует событие в журнале событий, и вы обычно получаете сообщение с предложением запустить Chkdsk. В зависимости от характера повреждения Chkdsk может или не может восстановить данные файла. Однако Chkdsk возвращает файловую систему во внутреннее согласованное состояние.

Причина 4. Файлы существуют по путям, длина которых превышает MAX_PATH символов

Вы не можете открыть, изменить или удалить файл, если есть проблемы с путем к файлу.

Решение 1. Используйте автоматически сгенерированное имя версии 8.3 для доступа к файлу

Чтобы решить эту проблему, вы можете использовать автоматически сгенерированное имя 8.3 для доступа к файлу. Это решение может быть самым простым решением, если путь слишком длинный из-за слишком длинных имен папок. Если путь 8.3 также слишком длинный или имена 8.3 отключены для тома, перейдите к решению 2. Дополнительные сведения об отключении имен файлов 8.3 на томах NTFS см. в разделе Как отключить создание имен 8.3 в разделах NTFS.

Решение 2. Переименуйте или переместите глубокую папку

Переименуйте папку так, чтобы целевые файлы, расположенные глубже, чем MAX_PATH, больше не существовали. Если вы это сделаете, начните с корневой папки или любого другого удобного места. Затем переименуйте папки, чтобы они имели более короткие имена. Если этот шаг не решит проблему, например, если файл имеет глубину более 128 папок, перейдите к решению 4.

Решение 3. Сопоставьте диск с папкой в структуре пути

Сопоставьте диск с папкой внутри структуры пути к целевому файлу или папке. Этот метод сокращает виртуальный путь.

Например, предположим, что у вас есть путь, структурированный следующим образом:

В этом пути общее количество символов превышает 255 символов. Чтобы сократить длину этого пути до 73 символов, сопоставьте диск с SubfolderName4.

Решение 4. Используйте общий сетевой ресурс такой же глубины, как и папка

Если решения 1, 2 и 3 неудобны или не решают проблему, создайте общий сетевой ресурс как можно глубже в дереве папок. Затем переименуйте папки, открыв общий ресурс.

Решение 5. Используйте инструмент, способный преодолевать глубокие пути

Многие программы Windows предполагают, что максимальная длина пути должна быть меньше 255 символов. Эти программы выделяют достаточно внутренней памяти только для обработки этих типичных путей. NTFS не имеет этого ограничения и может хранить гораздо более длинные пути.

Эта проблема может возникнуть, если вы создаете общую папку в какой-то точке структуры папок, которая уже достаточно глубокая, а затем создаете глубокую структуру ниже этой точки с помощью общей папки. Некоторые инструменты, работающие локально в дереве папок, могут быть не в состоянии просмотреть все дерево, начиная с корня. Возможно, вам придется использовать эти инструменты особым образом, чтобы они могли перемещаться по общему ресурсу. В документации по CreateFile API описан метод обхода всего дерева в такой ситуации.

Как правило, вы можете управлять файлами с помощью программного обеспечения, которое их создает. Если у вас есть программа, которая может создавать файлы глубже, чем MAX_PATH , вы обычно можете использовать эту же программу для удаления файлов или управления ими. Обычно файлы, созданные в общей папке, можно удалить с помощью той же общей папки.

Причина 5: имя файла содержит зарезервированное имя в пространстве имен Win32

Если имя файла содержит зарезервированное имя в пространстве имен Win32, например lpt1, удалить файл невозможно. Чтобы решить эту проблему, используйте программу, отличную от Win32, для переименования файла. Вы можете использовать инструмент POSIX или любой другой инструмент, который использует соответствующий внутренний синтаксис для использования файла.

Кроме того, вы можете использовать некоторые встроенные команды, чтобы обойти типичные проверки зарезервированного имени Win32, если вы используете определенный синтаксис для указания пути к файлу.

Если вы открываете дескриптор файла с помощью типичного механизма Win32 CreateFile, некоторые имена файлов зарезервированы для устройств DOS старого стиля. В целях обратной совместимости эти имена файлов не разрешены, и их нельзя создать с помощью обычных вызовов файлов Win32. Эта проблема не является ограничением NTFS.

Вы можете использовать программу Win32, чтобы обойти типичные проверки имен, которые выполняются при создании или удалении файла, используя тот же метод, который вы используете для обхода папок глубже, чем MAX_PATH . Кроме того, некоторые инструменты POSIX не подлежат этим проверкам имен.

Причина 6: имя файла содержит недопустимое имя в пространстве имен Win32

Вы не можете удалить файл, если имя файла содержит недопустимое имя. Например, имя файла имеет завершающий пробел или точку в конце, или имя файла состоит только из пробела. Чтобы решить эту проблему, используйте средство, которое использует соответствующий внутренний синтаксис для удаления файла. Вы можете использовать синтаксис "\\?\" с некоторыми инструментами для работы с этими файлами. Вот пример:

Причина этой проблемы аналогична причине 4. Если вы используете типичный синтаксис Win32 для открытия файла, в имени которого есть пробелы или точки в конце, перед открытием фактического файла эти пробелы или точки удаляются. Например, у вас есть два файла в одной папке с именами AFile.txt и AFile.txt , обратите внимание на пробел после имени файла. Если вы попытаетесь открыть второй файл с помощью стандартных вызовов Win32, вместо этого вы откроете первый файл. Точно так же, если у вас есть файл, имя которого состоит из пробела, и вы пытаетесь открыть его с помощью стандартных вызовов Win32, вместо этого вы открываете родительскую папку файла. В этой ситуации, если вы попытаетесь изменить параметры безопасности для этих файлов, вы либо не сможете это сделать, либо можете неожиданно изменить параметры для других файлов. В этом случае вы можете подумать, что у вас есть разрешение на доступ к файлу, который на самом деле имеет ограничительный список управления доступом.

Комбинации причин

Иногда вы можете столкнуться с сочетанием этих причин. Это может усложнить процедуру удаления файла. Например, если вы входите в систему как администратор компьютера, вы можете столкнуться с сочетанием причины 1 (у вас нет прав на удаление файла) и причины 5 (имя файла содержит завершающий символ, из-за которого доступ к файлу перенаправляется). в другой или несуществующий файл), и вы не можете удалить этот файл. Если вы попытаетесь устранить причину 1, став владельцем файла и добавив разрешения, вы все равно не сможете удалить файл, поскольку редактор ACL в пользовательском интерфейсе не может получить доступ к соответствующему файлу из-за причины 6.

В этом случае вы можете использовать утилиту Subinacl с параметром /onlyfile (эта утилита включена в Resource Kit), чтобы изменить владельца и права доступа к файлу, который иначе недоступен. Вот пример:

Эта команда представляет собой единую командную строку, заключенную для удобства чтения.

Этот пример командной строки изменяет диск C:\

файл, содержащий пробел в конце, так что учетная запись домена\администратора является владельцем файла и эта учетная запись имеет полный контроль над файлом. Теперь вы можете удалить этот файл с помощью команды Del с тем же синтаксисом "\\?\".

Файлы и папки, к которым относится открытый доступ в iCloud Drive, имеют рядом с собой особенности.

Если совместно используются папки, все объекты, которые будут добавлены или другими пользователями в эту папку, станут доступными всем, у кого есть доступ к папке.

Ссылка на файл, к которой предоставлен общий доступ, содержит имя файла. Если имя или содержимое файла являются конфиденциальными, не требуется пересылать посилання другим людям.

Если Вы переместили файл, к которому предоставлен общий доступ, в другой папке или месте, ссылка больше не будет работать, и другие пользователи не получат доступ к файлу.

В зависимости от приложений пользователей может появиться повторный запрос файла или исходной ссылки для просмотра повторных изменений.

Общий доступ к файлу или папке

Если вы являетесь владельцем папки или файла в iCloud Drive, вы можете разрешить другим пользователям открывать файл или папку или изменять их содержимое.

Папкой или файлом можно поделиться, либо предоставив доступ только к доступу людям, либо открыв доступ всем, у кого есть ссылка.

Вы можете разрешить изменение содержимого файла или папки или разрешить только просмотр.

Если открыть общий доступ к папке, по умолчанию доступ к файлу в эту папку получить только приглашенные участники. Чтобы выбрать доступ к файлам других пользователей, измените общую папку и добавьте новых участников. Не выбирать только один файл и не выбирать только один файл из любой его общей папки, даже если добавить участников.