Comodo Time machine (CTM)- бесплатное программное обеспечение для восстановления операционной системы на ранее созданный снимок ее состояния (snapshot) . В отличие от стандартного средства восстановления Windows, Comodo Time Machine обладает более гибкими возможностями настройки средства создания снимков и позволяет выполнять восстановление полного состояния файловой системы, включая все до единого файлы и каталоги, в том числе и пользовательские данные. Comodo Time Machine можно настроить таким образом, чтобы "мгновенный снимок" создавался при каждой загрузке операционной системы, только один раз при первой загрузке, через определенные промежутки времени, перед инсталляцией нового приложения ( при запуске программы с определенным именем, например — setup.exe). Важной особенностью Comodo Time Machine является возможность отката на заранее созданный снимок системы при каждой загрузке Windows, что позволяет восстанавливать исходное состояние ОС вне зависимости от произошедших после создания снимка событий, таких как установка и удаление программ, вирусное заражение, удаление или создание файлов и каталогов. Данный режим идеально подходит для учебных классов, интернет-кафе, комплексов отладки программного обеспечения и в прочих случаях, когда для возврата системы в исходное состояние достаточно просто выполнить перезагрузку компьютера — все изменения будут благополучно утрачены.

Comodo Time Machine позволяет "смонтировать" сохраненный снимок либо в режиме чтения, либо с полным доступом в виде обычной папки с файлами и каталогами и просмотреть его содержимое, извлечь из снимка отдельные файлы, сравнить содержимое снимка и текущего состояния файловой системы и т.п.

В тех случаях, когда система повреждена настолько, что нет возможности выполнить ее загрузку, в Comodo Time Machine предусмотрен режим интерактивного входа в среду восстановления без выполнения загрузки Windows, благодаря чему можно произвести откат системы на тот момент, когда был создан снимок работоспособного состояния. Доступ к данной среде восстановления, как и доступ к управлению Comodo Time Machine в среде Windows, можно закрыть паролем.

Comodo Time Machine позволяет создать несколько снимков с разным набором программного обеспечения и в любой момент времени быстро вернуть состояние системы на любой из них.

Программа имеет простой и удобный интерфейс, которым очень легко пользоваться. В простейшем случае, пользователю достаточно использовать всего две кнопки - "Take Snapshot" ( создать резервный снимок ) и "Restore System" ( восстановить систему). Однако, возможности Comodo Time Machine значительно шире, что позволяет автоматизировать процессы резервного копирования и восстановления, оптимизировать использование дискового пространства и создавать наиболее подходящие для пользователей конфигурации, как например, с восстановлением исходного состояния ОС Windows при каждой перезагрузке, т. е. практически "неубиваемой" Windows.

Установка программы выполняется без каких либо особенностей, кроме того этапа, где необходимо выбрать логические диски, которые будут обслуживаться программой. По умолчанию, включены галочки для всех дисков, присутствующих в системе на момент установки Comodo Time Machine. Если требуется исключить какой-нибудь диск из обслуживания, то галочку нужно снять. Изменить набор наблюдаемых программой дисков, после завершения установки невозможно.

Создание снимка системы.



Первый снимок системы создается автоматически при установке Comodo Time Machine. Он имеет имяBaselineи является полным снимком системы. Все остальные снимки создаются относительноBaselineи содержат только изменения, произошедшие в файловой системе. Для создания снимка текущего состояния используется кнопка «Take Snapshot”

Создание снимка файловой системы



При создании снимка указывается его название ( 'Snapshot Name' ) и, не обязательно, краткое описание ( 'Description' ). В стандартной версии Comodo Time Machine нет поддержки русского языка, поэтому описание на русском не будет нормально отображаться при загрузке в режиме консоли ( sub console ) для работы с CTM до загрузки Windows.

Галочка 'Lock the new snapshot' служит для защиты от случайного удаления снимка. Пока снимок находится в защищенном состоянии ( Locked ), его удаление невозможно.

После нажатия "OK” снимок будет создан. Кроме ручного создания снимков системы, возможно их автоматическое создание с использованием встроенного планировщика Comodo CTM.

Кнопка ‘View Snapshots’ позволяет просматривать информацию о существующих снимках файловой системы в виде дерева иерархической структуры ( режим ‘Tree View’ ) либо в виде списка в хронологическом порядке ( ‘Timeline View’ ).

Просмотр снимков файловой системы



В любом режиме возможны операции над снимками, с использованием контекстного меню, вызываемого правой кнопкой мышки:

Lock Snapshot- включить режим защиты снимка от удаления. Для снимка с состоянием ”Lock” режим удаления не доступен.

Unlock Snapshot- разрешить режим удаления для данного снимка.

Delete Snapshot- удалить данный снимок.

Delete All Unlocked- удалить все снимки, для которых разрешено удаление.

Switch to this Snapshot- выполнить откат на данный снимок. Выполняется при перезагрузке системы.

Mount Snapshot- монтировать данный снимок в текущей файловой системе.

Properties- отобразить свойства снимка. Отображается общая информация, и данные о размере области диска, занимаемая данным снимком.

Настройка внутреннего планировщика CTM.



Comodo Time Machine имеет встроенный планировщик для автоматизации процессов создания снимков и восстановления состояния системы. Для работы с ним используется кнопка Scheduled Tasks . Для создания снимков системы с помощью планировщика используется кнопкаAdding Scheduled Snapshot Tasks, для автоматического восстановления -Adding Scheduled System Restore TasksДля изменения параметров существующих заданий -Properties

Создаваемые задачи могут выполняться либо в назначенное время, либо по событию:

Hourly- делать снимок системы в начале каждого часа в заданный промежуток времени ( From и To ). Установка галочкиWorkday- только по рабочим дням.

Daily- делать снимки системы ежедневно.

Weekly- делать снимки системы еженедельно.

Monthly- делать снимки ежемесячно, в указанную дату. Если в качестве даты указать31, то снимки будут делаться только в месяцы продолжительностью 31 день.

One Time- создать снимок однократно, в указанную дату и время.

Event- создать снимок при возникновении события, в качестве которого используется запуск программы, имя исполняемого файла которой нужно указать ( setup.exe). Обычно этот режим используется для создания снимков перед установкой программного обеспечения .

Restore System at startup- восстановить состояние системы на указанный снимок при перезагрузке. При включении данного режима, откат системы будет выполняться при каждой перезагрузке.

РежимRestore System at startupможно использовать для создания «неубиваемой» Windows, состояние которой будет восстанавливаться при каждой перезагрузке. Но необходимо учитывать, что в данном режиме, будет выполняться полное восстановление состояния на момент создания снимка, и, например, не только восстановятся удаленные файлы и папки, но и удалятся те из них, что были созданы позже. Если требуется сохранять какие-либо результаты своей работы, то это необходимо делать не на той файловой системе, которая восстанавливается , например, на логическом диске, который исключен из списка защищаемых программой, на съемных дисках или в сети. Можно также использовать режим синхронизации файлов и папок текущей файловой системы с использующимся снимком, однако данный режим работает довольно медленно.

Дополнительные настройки Comodo Time Machine



Настройки Comodo Time Machine выполняются на вкладкеSettings:



Настройки Comodo Time Machine



Внешний вид и общее поведение Comodo Time Machine настраивается через меню «Settings – Program Settings – Program Appearance” .Do not show icon in the system tray- не отображать иконку Comodo Time Machine в системном трее.

Do not show program logo during startup- не показывать логотип при запуске.

Do not show last user name in logon screen- при включенном контроле доступа, не отображать имя пользователя, выполнившего последнее подключение к CTM.

Do not show pop-up message when taking scheduled snapshot- не показывать всплывающее окно с сообщением об автоматическом создании снимка.

Do not allow user to cancel scheduled tasks- не разрешать пользователям удалять задания планировщика.

Disable the mouse in the subsystem- не использовать мышь в консоли Comodo ( sub-console), используемой при загрузке.

Interface Language- выбор используемого языка программы.

Дополнительные настройки, определяющие режимы работы программы, связанные с управлением снимками и параметрами резервного копирования и восстановления, синхронизацией и запланированными задачами выполняются в разделеAdvanced Settings:

Enable system security, Require password authentication to start Windows- обеспечивает дополнительный уровень безопасности, запрашивая имя пользователя и пароль перед стартом Windows.

Remind me to run missed scheduled tasks- напоминать о просроченных заданиях.

Delete unlockedsnapshots ofdays oldудалять через указанное количество дней снимки со статусом Unlock

Always take a snapshot of the current system before restoring system- всегда создавать резервный снимок перед выполнением восстановления.

Defrag snapshots on startup after deletingsnapshots- выполнять дефрагментацию после удаления указанного количества снимков.

Defrag snapshots on startup after takingsnapshots- выполнять дефрагментацию после создания указанного количества снимков.

Take a snapshot of the system on startup- создавать резервные снимки при загрузке системы.

Do not take a snapshot on startup if one snapshot has been taken that day- не создавать резервный снимок при загрузке, если такой снимок уже сделан за текущую дату.

Synchronize these files or folders when restoring system to another snapshots- синхронизировать выбранные файлы и папки при восстановлении из указанного снимка.

Mount snapshot into NTFS directory- монтировать резервные снимки в указанный каталог.

Настройки контроля доступа, создание и изменение пользователей и паролей выполняются на вкладкеUser Settings

Disable access control- отключить контроль доступа. Программа не будет запрашивать пароль при запуске или при консольном доступе. Режим по умолчанию.

Enable access control- включить контроль доступа. CTM при установке создает пользователя 'Administrator' без пароля, который имеет полный доступ к функционалу программы. При включении контроля доступа нужно очень внимательно относиться к именам пользователей и паролям ( особенно к паролю администратора) и не использовать для них символы русского языка, поскольку утрата доступа к программе не только не позволит изменять ее настройки, но и удалить CTM из системы. В некоторых версиях Comodo TM происходит искажение пароля, если его длина превышает 8 символов. В некоторых случаях, когда Comodo TM используется многими пользователями, имеет смысл завести дополнительные учетные записи.

Настройки в разделеProtection Settings- позволяют просматривать список логических дисков, для которых создаются резервные снимки ( формируется при установке программы), а также управлять их сжатием и дефрагментацией. В тех случаях, когда CTM настроен на автоматический откат системы при загрузке, желательно иметь логический диск, не защищенный средствами восстановления, для хранения пользовательских данных. Например, можно создать конфигурацию, в которой диск C: будет защищен, а диск D: исключен из системы защиты.

Использование консоли (sub console) при загрузке CTM



Comodo Time Machine устанавливает собственный загрузчик, который получает управление до загрузчика Windows. При нажатии кнопкиHomeна клавиатуре, пользователь получает доступ к функционалу CTM до загрузки системы через специальную консоль:

Интерактивная консоль Comodo Time Machine



Restore System- восстановление системы

Take Snapshot- создание резервного снимка.

Compact- сжатие и дефрагментация.

Uninstall- удаление программы. При удалении Comodo Time Machine, состояние системы приводится к виду, задаваемому выбранным снимком.

Если включен контроль доступа, то для подключения к консоли CTM потребуется ввести имя пользователя и пароль, созданные в настройкахUser Settings.

Некоторые особенности использования CTM



    Для уменьшения количества снимков и ускорения загрузки рассмотренной выше «неубиваемой» Windows, можно преобразовать снимок системы, который используется для восстановления при перезагрузке в базовый, с использованием кнопки «New Baseline”. При этом будет создан новый полный снимок текущего состояния системы, а все предыдущие будут удалены. Все последующие снимки будут учитывать изменения только от новогоBaseline. С этого момента времени, откат системы на состояние до зафиксированного снимкомBaselineстанет невозможным.

    В составе Comodo Time Machine имеется утилита командной строкиctmcmd.exe. Параметры командной строки:

/L List snapshot(s)- отобразить список снимков.

/N Create snapshot- создать снимок

/R Restore snapshot- восстановить систему

/D Defrag snapshots- дефрагментировать снимки.

/S Show icon- отображать иконку в трее

/H Hide icon- скрыть иконку

/U Uninstall- удалить программу

/RB Reset baseline- создать новый базовый снимок

/RF Synchronize files- синхронизировать файловую систему и снимок

/RN Rename snapshot- переименовать снимок

/DEL Delete snapshot(s)- удалить снимок

/LOCK Lock snapshot- исключить снимок из списка удаляемых

/UNLOCK Unlock snapshot- разрешить удаление снимка

/LOGIN Login- войти в CTM под указанной учетной записью

/LOGOFF Logout- выйти из CTM

/MOUNT Mount snapshot- смонтировать снимок в виде каталога в файловой системе

/DISMOUNT Unmount snapshot- отмонтировать снимок.

/MOUNTINFO Show mounting information- отобразить информацию о примонтированном снимке.

/RECOVERFILE Recover Files- восстановить файлы

/CURRENTUSER Show current user- отобразить информацию о текущем пользователе CTM ( вошедшем через параметр /LOGIN или графический интерфейс программы)

/? Show help document- отобразить справку по использованию Comodo Time Machine

/VER Show version information- отобразить версию программы.

Некоторые параметры задавать необязательно. Имя пользователя и пароль требуются, если включен контроль доступа. Значения параметров, содержащие пробел, заключаются в двойные кавычки. При установке по умолчанию, утилитаctmcmdнаходится в папке C:\Program Files\COMODO\Time Machine\

Пример создания снимка:

ctmcmd.exe /L /all /user Administrator /pass ADMpass- отобразить список всех снимков. Для регистрации в CTM используется имя пользователя ”Administrator” и пароль ”ADMpass”

ctmcmd /LOGIN /User Administrator /pass ADMpass- зарегистрироваться в CTM под указанной учетной записью. После регистрации ввод имени и пароля в последующих командах не требуется. Также пароль не будет запрашиваться в графической оболочке Comodo Time Machine.

ctmcmd /n /name "TEST 1" /comment "Created 01.01.2015" /user Administrator /pass ADMpass- создать снимок с названием "TEST 1" и комментарием "Created 01.01.2015”

ctmcmd /r /baseline- восстановить состояние системы на базовый снимок.

ctmcmd /r /current- восстановить состояние системы на последний снимок.

ctmcmd /logoff- выйти из CTM.

Более подробная информация об использованииctmcmd.exeсодержится в специальном разделе справки Comodo Time Machine.

    В процессе эксплуатации Comodo Time Machine версии 2.8.155286.178 была обнаружена неприятная особенность - при использовании пароля длиной более 8 символов, при определенной комбинации символов, может происходить его искажение. В случае утраты пароля, управлять программой становится невозможно, в том числе, невозможно и удалить ее из системы. В качестве решения проблемы можно использовать следующий способ — восстановить стандартный загрузчик Windows, после чего удалить Comodo Time Machine стандартными средствами, поскольку без использования собственного загрузчика, программа не сможет создать необходимую для своей работы среду, перейдет в нерабочее состояние и может быть удалена стандартными средствами системы без необходимости ввода пароля. При этом нужно учитывать тот факт, что состояние файловой системы будет приведено в соответствие с выбранным при деинсталляции снимком (по умолчанию, предлагается выбрать текущиий - Current). Все файлы и каталоги, созданные позже выбранного снимка, будут удалены, а удаленные — восстановлены. Поэтому, перед сменой загрузчика, нужно предпринять меры по сохранению пользовательских данных, которые могут быть затронуты откатом на выбранный снимок.

Для восстановления стандартного загрузчика, проще всего воспользоваться утилитойbootsect.exe. Если в системе используется активный раздел без присвоенной буквы, то для выполнения командыbootsectможно временно присвоить ему любую свободную с помощью диспетчера логических дисков, напримерY:. После чего выполнить команду:

bootsect /nt60 Y: /force /mbr

После перезагрузки, Comodo Time Machine перейдет в нерабочее состояние, и может быть удален стандартным образом, без ввода пароля.

На сайте разработчика очень сложно найти прямые ссылки для скачивания бесплатной версии Comodo Time Machine, поэтому, кроме ссылки на скачивание с официального сервераcdn.download.comodo.com, я разместил здесь дублирующую ссылку для скачивания инсталляционного пакетаclient_setup_2.6.138262.166.exeс сайта ab57.ru. Пакеты абсолютно одинаковые с одним и тем же значением MD5.

Comodo Time Machine 2.6.138262.166- ссылка для скачивания с официального сайта.

MD5=4cc88ed9eb0f221fa4181bc9dbecace4

Comodo Time Machine 2.6.138262.166- альтернативная ссылка для скачивания с данного сайта.

MD5=4cc88ed9eb0f221fa4181bc9dbecace4

Comodo Time Machine 2.8.155286.178- ссылка для скачивания с данного сайта.

В качестве альтернативы программе Comodo Time Machine, можно воспользоваться бесплатной версией Rollback Rx Home Edition от компанииHorizon DataSys. Программа имеет поддержку русского языка и проще в использовании, однако, в бесплатной версии имеются ограничения, не позволяющие в полной мере автоматизировать процессы создания резервных копий и восстановления системы.

RollBack Rx Home Edition – бесплатное средство восстановления файловой системы Windows .

Восстановление содержимого зашифрованных файлов из теневой копии тома.



Как правило, расшифровать зашифрованные вирусом файлы очень сложно, и иногда, даже невозможно. В таких случаях, есть смысл попробовать восстановить хотя бы то, что могло быть сохранено в снимке файловой системы, и возможно, потеря информации будет минимальной. В общем случае, задача заключается в том, чтобы подключить теневую копию к системе, в виде логического диска или каталога, с которым можно было бы работать стандартными средствами, например,Проводникомили любимым файловым менеджером, вродеFar Manager. Подобная задача легко решается стандартными средствами системы. Для работы с теневыми копиями томов используется стандартная утилитаvssadmin.exeимеющаяся в составе всех операционных систем семейства Windows, начиная с Windows XP. Краткую справку по ее использованию можно получить по командеvssadmin /?, а более подробное описание – по ссылке на список команд CMD, размещенной в конце страницы. Эту утилиту можно использовать для получения имен томов с теневыми копиями. Кроме того, в составе средств командной строки имеется команда создания символьной ссылкиmklink, позволяющая подключить том теневой копии в качестве обычного каталога файловой системы. Подсказку и более полное описаниеmklinkможно получить таким же образом, как и дляvssadmin.exe. Поскольку, файлы теневых копий интерпретируются системой как обычные тома, то для получения доступа к их содержимому достаточно создать символические ссылки на их корневые разделы. Для этого потребуется узнать имя тома теневой копии.

Для работы с данными командами потребуются права администратора ( запуск от имени администратора).

Получить список теневых копий можно с помощью команды:

vssadmin List Shadows

Для удобства работы с результатами вывода утилиты, можно воспользоваться их перенаправлением в файл:

vssadmin List Shadows > C:\shadows\vsslist.txt

Результаты выполнения команды будут записаны в текстовый файлvsslist.txtв каталогеshadowsдискаC:. Каталогshadowsдолжен быть создан, например, командойmd c:\shadows.

Пример отображаемой информации:

vssadmin 1.1 - Программа командной строки для администрирования службы теневого копирования томов
(C) Корпорация Майкрософт (Microsoft Corportion), 2001-2013.

Содержимое для ID набора теневых копий: {85d65d2b-c18a-43f1-8a61-d208b395e21b}
   Содержит 1 теневых копий на время создания: 23.10.2015 15:42:45
      ID теневой копии: {8dfdb88c-bc94-47af-911b-e334a51da328}
         Исходный том: (C:)\\?\Volume{6ef5aa79-4005-11e5-830b-806e6f6e6963}\
         Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
         Размещающий компьютер: win10
         Обслуживающий компьютер: win10
         Поставщик: "Microsoft Software Shadow Copy provider 1.0"
         Тип: ClientAccessibleWriters
         Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

Содержимое для ID набора теневых копий: {3262820f-aa3f-490b-bf44-f17378699272}
   Содержит 1 теневых копий на время создания: 27.10.2015 10:01:52
      ID теневой копии: {fd90cbbe-f365-44c3-be5a-d331ebcc5185}
         Исходный том: (C:)\\?\Volume{6ef5aa79-4005-11e5-830b-806e6f6e6963}\
         Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2
         Размещающий компьютер: win10
         Обслуживающий компьютер: win10
         Поставщик: "Microsoft Software Shadow Copy provider 1.0"
         Тип: ClientAccessibleWriters
         Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

В данном примере, имеется информация о наличии 2-х теневых копий, созданных службой теневого копирования в среде Windows 10, и их имена томов:

Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2

Зная имена томов, можно подключить их в каталог, напримерC:\shadowsкомандойmklink:

mklink /D C:\shadows\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

mklink /D C:\shadows\shadow2 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\

Чтобы не набирать вручную имена томов, можно воспользоваться копированием их из текстового файла, полученного перенаправлением вывода командыvssadmin( C:\shadows\vsslist.txt )

Обратите внимание на наличие символа\после имени тома, поскольку ссылка должна создаваться на каталог (параметр командной строки/D)

После выполнения этих команд, в каталогеC:\shadowsпоявятся подкаталогиshadow1иshadow2содержащих данные теневых копий. Можно из командной строки перейти в проводник Windows:

explorer C:\shadows



Каталоги с теневыми копиями в Проводнике Windows



Изображение стрелки на ярлыках указывает на то, что это не реальные каталоги файловой системы, а символические ссылки. Дальше, с данными теневых копий можно работать, как с обычным (но защищенным от записи) каталогом файловой системы.

Процесс подключения теневых копий можно немного упростить с помощью командного файла, следующего содержания:

@echo off
chcp 1251
C:
If not exist C:\shadows md c:\shadows
vssadmin List Shadows > C:\shadows\vsslist.txt
FIND /N C:\shadows\vsslist.txt "\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy" > C:\shadows\listshadows.txt
If exist C:\shadows\shadow1 rd C:\shadows\shadow1
mklink /D C:\shadows\shadow1 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
start explorer C:\shadows



Данный командный файл должен запускаться от имени администратора. При его выполнении создается каталогC:\shadows, сохраняется вывод командыvssadminв файлеC:\shadows\vsslist.txt, командаFINDвыделяет из полученного файла только те строки, которые содержат имя теневой копии, и записывает результат в файлlistshadows.txtкоторый можно открыть в блокноте, или с помощью редактора WorPad, затем командойmklinkсоздается символическая ссылкаC:\shadows\shadow1на том первой теневой копии и запускается проводник, открывающий папкуC:\shadows\.

При необходимости, можно подключить нужную теневую копию, командой:

mklink /D C:\shadows\shadowN \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\

ГдеNпринимает значение номера копии. Копия с наибольшим номером – наиболее свежая. Дату создания каждой копии можно посмотреть в выводе командыvssadmin

Командаmklinkне может создать новую ссылку, если указанное в параметрах имя уже существует. Для удаления символьной ссылки можно использовать командуRD:

rd C:\shadows\shadow1- удалить символьную ссылкуshadow1

 

 

Использование теневых копий томов для восстановления файлов с помощью Recuva.



Скачать программу для восстановления файловRecuvaс официального сайта сомпании Piriform


Важной особенностьюRecuvaявляется возможность восстановления файлов из теневых копий томов, автоматически создаваемыми службой теневого копирования Windows. Теневые копии утилита интерпретирует как обычные логические диски, примонтированные к текущей системе. Для отображения теневых копий, нужно включить данный режим -Настройки…-Диски- установить флажокПоказывать теневые копии. При восстановлении файлов можно выбрать из списка дисковых устройств либо конкретную теневую копию, либо все, существующие в системе на данный момент времени. В настройках программыДействиядолжен быть установлен флажокПоиск неудаленных данных (восстановление с поврежденного носителя).

Выбор режима работы с теневыми копиями в Recuva



После завершения анализа, нужно найти файл для восстановления, который имеет состояниеНе удалено. Таким образом, мы будем восстанавливать неудаленныйфайл, а файл,сохраненный в снимкефайловой системы. Теневых копий, в зависимости от версии Windows, размера дисковых томов, и системных настроек теневого копирования, может быть до 64 шт. И каждая из них может быть источником восстановления для утилиты Recuva, казалось бы, безвозвратно утерянной информации. Но место на диске, отводимое теневым копиям томов ограничено, поэтому, при необходимости, система удаляет наиболее старые из них без каких-либо действий со стороны пользователя. По этой причине, пострадав от действий вируса-шифровальщика, не стоит надолго откладывать восстановление информации из существующих на данный момент снимков. По крайней мере, можно сначала скопировать файлы из теневых копий на сменный носитель, а затем уже приступать к прочим способам восстановления зашифрованных файлов. В противном случае можно не только не добиться их расшифровки, но и потерять возможность восстановления предыдущего содержимого.

Использование стороннего ПО для доступа в теневым копиям томов.



Существует программное обеспечение, облегчающее доступ пользователей домашних компьютеров к данным теневых копий, как например, ShadowExplorer.

ShadowExplorer – доступ к теневой копии тома.



Программа позволяет выбрать диск и любую из соответствующих ему теневых копий. Данные отображаются так же, как в стандартном проводнике. Пользователь имеет возможность выбрать нужный файл или каталог и с помощью контекстного меню, вызываемого правой кнопкой мышки, экспортировать его в нужное место, например, на флэшке.

Скачать ShadowExplorer можно на странице загрузкиофициального сайта ShadowExplorer.com

Программа распространяется в двух вариантах - Installer, устанавливаемом в системе стандартным образом, и Portable, переносимом.

Вероятность восстановления зашифрованных вирусом данных.



Авторы вредоносных программ постоянно работают над тем, чтобы затруднить самостоятельное восстановление данных, зашифрованных вирусом. При заражении системы принимаются меры для того, чтобы удалить теневые копии или сделать их непригодными для восстановления данных. Эта задача очень легко решается, если вирус работает в среде пользователя с правами администратора при отключенной технологии контроля учетных записей пользователейUAC. В качестве примера приведу алгоритм действий реального вируса-шифровальщика, выполняющегося в системе со стандартными настройками безопасности в контексте учетной записи пользователя, обладающего правами администратора.

В большинстве случаев, заражение системы происходит при открытии вложенного в электронное письмо файла. Первая ошибка, допущенная пользователем – сам факт открытия такого файла. Даже если текст письма довольно правдоподобен, существует возможность просмотра заголовка письма, по которому легко установить достоверность отправителя.Как определить поддельное письмо электронной почты.Тема заражения компьютера через почтовые вложения стара, как компьютерный мир, но тем не менее, остается актуальной, и большинство заражений происходят именно таким образом. В данном конкретном случае, вложенный файл представлял собой архив, содержащий сценарий на языке JavaScript, обеспечивающий загрузку с сервера злоумышленников основного тела вируса и выполнение его в контексте учетной записи текущего пользователя. Исполняемый файл вируса имеет случайное имя и копируется в папку документов пользователя. Пример свойств вирусного процесса, полученный с помощью Far Manager:

Module:                famojv.exe
Full path:             C:\Users\user\Documents\famojv.exe
File version:          0.17.19.20
Description:           Homecomings Latched Embarrassments
PID:                   2296



В первую очередь, вирусный процесс попытался удалить все теневые копии системы, выполняя команду:

"C:\Windows\System32\vssadmin.exe" Delete Shadows /All /Quiet

В тех случаях, когда вредоносная программа выполняется в контексте учетной записи с административными правами и отключен механизм контроля UAC, теневые копии будут успешно удалены, и пользователь этого даже не заметит. При включенном контроле учетных записей UAC, отобразится оповещение системы безопасности:



Запрос на разрешение выполнения vssadmin.exe



Интерфейс командной строки для Microsoft Volume Shadow Copy Service запрашивает разрешение на выполнение с административными привилегиями. Если на данный запрос ответить ”Да”, то результат будет таким же, как и в предыдущем случае – теневые копии будут удалены. Если же ответить ”Нет”, то программный модуль вируса повторит попытку удаления теневых копий и на экране снова отобразится сообщение системы безопасности. Так будет продолжаться до тех пор, пока не будет нажата кнопка ”Да” или вирусный процесс не будет принудительно завершен. Как правило, большинство пользователей, не задумываясь над смыслом своих действий, после нескольких повторившихся запросов, выбирают первый вариант, тем самым лишая себя последней возможности восстановления данных.

Использование теневых копий томов является единственным относительно простым способом полного или частичного восстановления информации, зашифрованной вредоносными программами. Конечно, кроме восстановления с использованием ранее созданных резервных копий, которые практически никогда не имеются в наличии. В подавляющем большинстве случаев, расшифровка невозможна. С мизерной вероятностью может помочь специализированное программное обеспечение антивирусных компаний, специально разработанное для расшифровки файлов, как например утилиты RakhniDecryptor, RannohDecryptor, ScraperDecryptor и т.п. от лаборатории Касперского. Как правило, такие утилиты позволяют расшифровать только те файлы, которые были обработаны устаревшим вирусом. Для ускорения процесса, можно отправить пример зашифрованного файла и требуемый код через специальные формы на сайтах антивирусных компаний. Если у вас есть копия этого же файла в незашифрованном виде, отправьте ее также. Теоретически, это может ускорить появление утилиты-дешифратора.

В качестве средства защиты от вирусов-шифровальщиков можно использовать специальные программы для создания резервных снимков файловой системы и восстановления на основе сделанного ранее снимка, как например, бесплатные Comodo Time Machine и Rollback Restore Rx Home и платная RollBack Restore Rx Pro. Эти программные продукты работают по принципу ”машины времени”, позволяя быстро вернуть состояние файловой системы на момент создания ее снимка (snapshot). В платных версиях подобных программ ( и в бесплатном Comodo Time Machine) существует возможность автоматического создания снимков по расписанию с помощью встроенного планировщика, например, при первой загрузке ежедневно или с заданной периодичностью. Особенностью перечисленных программ является собственная внутренняя система безопасности, отдельный загрузчик ОС и программный движок для создания, хранения и восстановления данных, что создает серьезные трудности для нанесения ущерба при вирусном заражении, в том числе и шифровальщиками.

Comodo Time Machine- описание, примеры использования и ссылки для скачивания.

RollBack Rx Home Edition- краткое описание, ограничения бесплатной версии программы, примеры использования.

Recuva от компании Piriform- краткое описание и инструкция по использованию Recuva для восстановления пользовательских данных.

Список команд командной строки Windows с примерами.



Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой "Поделиться"

    Сбои терминальных серверов обусловленных печатью

·         Медленная печать по узким каналам связи

·         Ошибки маппинга принтеров

·         Сбои, обусловленные конфликтами драйверов принтеров

·         Отказоустойчивость печати

·         Балансировка нагрузки при печати

·         Администрирование ландшафта печати

·         Print Audit (отслеживание затрат на печать)

·         Безопасность печати

http://www.telphin.ru/

 

В базовую версию АТС включено 3 добавочных номера, очередь и голосовое приветствие. Абонентская плата за базовую версию составляет 500 рублей в месяц.

Чтобы принимать и совершать звонки, достаточно подключить виртуальный номер и пополнить счет. Номер подключаем по запросу в отдел продаж: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Личный кабинет клиента для пополнения счета: cabinet.telphin.ru
Интерфейс АТС для настройки схемы звонка: teleo.telphin.ru
Логин: ESC35744
Пароль: TjNBvPzeZd

 

Возможности Телфин.Софтфона

  • Принимайте одновременно до 6 телефонных вызовов.

  • Общайтесь с клиентами с помощью телефонных звонков и SMS-сообщений.

  • Не ограничивайте возможности своей корпоративной телефонной сети и используйте все доступные функции: переадресация, удержание звонков, запрет входящих вызовов и другие.

Плюсы использования

  • Нет необходимости покупать дополнительное оборудование: можно установить приложение и звонить с мобильного устройства (используется тариф«Поминутный»).

  • Значительно сокращаются расходы на связь: на базе программных телефонов можно создать полноценную корпоративную телефонную сеть и звонить внутри компании абсолютно бесплатно.

  • Сотрудники становятся более мобильными и имеют возможность общаться с коллегами и клиентами, находясь в любой точке мира: программный телефон позволяет звонить с любого мобильного устройства.

Как выбрать программный телефон?

Мы протестировали в сети Телфин работу всех популярных программных телефонов,
выбрали лучшие и составили краткие руководства по их настройке.

Программные телефоны для ПК

Приложения для смартфонов

AndroidiPhoneBlackBerry
Bria Groundwire Sip.fm
CsipSimple Media5  
Groundwire Zoiper  
Sipdroid    
Zoiper    

Как это работает?

  • Зарегистрируйтесь в сети Телфин в качестве абонента. После регистрации на указанный e-mail будут высланы личные регистрационные данные.

  • Скачайте нужную вам программу, установите ее на компьютер, укажите код клиента, полученный при регистрации на сайте, пароль.

  • Пополните абонентский счет удобным способом на нужную сумму в российских рублях.

  • Принимайте и совершайте звонки.

 

Сколько стоит?

Для использования программного телефона «Телфин.Софтфон» нет никаких обязательных абонентских плат или минимальных платежей.

На абонентский счет можно положить столько денег, сколько необходимо, и платить только за совершенные звонки.

Общение внутри корпоративной сети – бесплатное. Все исходящие звонки осуществляются по тарифу «Поминутный».

 

Страница 1 из 2

AdSense

Яндекс.Метрика

Please publish modules in offcanvas position.