ikonoplev

Сегодня я поймал сообщение из серии...



Как это случилось - отдельная история собственного идиотизма, но факт есть факт.

Утром комп включился с этого вот сообщения, а завершала его вот такая надпись)



Первая мысль знаете какая была?

"Да вы охренели?"

В общем, факт есть факт многие из ворд-ексель файлов были зашифрованы и расширение заменено на *.valut

решение вопроса с 6 000+ файлов заняло полчаса.

Алгоритм ниже.

Базовое условие: У меня был Яндекс.Диск и 1+ компов, на которых осуществлялась синхронизация через яндексово облако.
То есть есть две машины, а также массив в облаке. в которых одинаковый объем данных. Причем все нужные данные синхронизируются через облако.

И вот, путем собственного идиотизма я на одной машине шифрую файлы.

далее включается следующий алгоритм.

1. Шифровальщик меняет расширения на документах.
2. Яндекс диск в облаке отправляет замененные файлы в корзину и добавляет в коллекцию в облаке измененные.

то есть, если у вас мало файлов, то можно тупо, руками, "восстановить" в веб версии яндекс диска удаленные файлы, грохнуть заменные и забыть инцидент, но у меня под замену попало 6500+ файлов. Хихикаем дальше.

3. Достаем альтернативную машину, на которой не случилось еще обмена с облаком. То есть на выключенной машине чистый бакап.
4. Делаем все, чтобы чистая машина не подключилась в сеть и не запустился процесс автоматической синхронизации. Я тупо вырубил вай-фай.
5. Запускаем локально вторую машину и делаем бэкап "чистой папки". Тупо копи-паст.

Таким образом, мы вывели из зоны синхронизации чистую версию файлов.

6. Возвращаемся на первую, зараженную машину.
7. В поиске выбираем все файлы с измененным расширением (в моем случае - это *,vault и тупо грохаем их за пределы корзины. Удаляем совсем)
8. Яндекс диск начинает вычищать эти файлы в облаке, он их отправляет в облачну корзину.

На этом этапе вы лишились всех своих ворд-ексель файлов. Кроме тех, что лежат в бэкапе на оффлайн компе.

9. Подключаем к сети/Яндекс диску вторую, "чистую" машину и с нее из синхронизируемой папки исчезают все ворд-ексель файлы. И пофиг.

10. Делаем бекапной папке из "чистой" машины "Контрол-С" и в папку Яндекс Диска "Контрол-В", ждем и подверждаем неизменность тех файлов, которые там уже были.

11. Яндекс диск чистой машины начнет заливать в сеть вновь залитые файлы.

12. Яндекс диск грязной машины начнет заливать из сети обновленные файлы.

Все.

Важно.
1. Надо отследить, чтобы шифровщик не встал в планировщик задач винды
2. Удалить из автозагрузки запуск текстовых файлов-информаторов о блокировке офисных документов.
3. Ни в коем случае и ни при каких обстоятельствах не платить мошенникам.

Если вы до сих пор не имеете облака для синхронизации - бегом заводить. Любое, не принципиален Яндекс. Диск.