โน็ตบุ๊คที่โรงเรียนโดนไวรัส GANDCRAB 5.1 ขอวิธีแก้

น่าจะเป็นประสบการณ์ที่ไม่ค่อยจะดีกับครูที่โรงเรียนเอาโน็ตบุ๊คไปซ่อมแต่โดนช่างแถมของฝากมาด้วย
คำตอบที่ได้รับเลือกจากเจ้าของกระทู้
ความคิดเห็นที่ 3
ไวรัสเรียกค่าไถ่ให้ทำตามนี้ ตั้งแต่ปลายปีมีคนได้ไฟล์คืน 3 คนแล้ว อาจเป็นเพราะไมโครซอร์ฟอัพเดตวินโดวส์ให้ไวรัสไม่สามารถลบ Shadow copy ได้เหมือนก่อนหน้านี้  



เมื่อโดนเข้าไปแล้วมีทางเดียวคือต้องใช้ไฟล์ที่ Back up เอาไว้มาใช้งานแทนไฟล์ที่ถูกเข้าระหัส  สำเนาไฟล์ถ้า Back up เอาไว้ที่อื่นก็ก๊อปลงคอมพ์ได้เลย แต่ถ้าใช้ Back up โดยระบบของวินโดวส์โดยเปิดใช้ Shadow copy ก็ใช้โปรแกรม shadow explorer ดึงเอาสำเนาไฟล์ออกมาใช้ แต่ไวรัสเรียกค่าไถ่หลายตัวมันสามารถลบ Shadow copy ได้ด้วย ทำตามด้านล่างนี้ ผมก๊อปมาจากกระทู้เก่าที่เคยตอบไว้เมื่อปลายปีนี้เอง จขกท. นั้นได้ไฟล์คืนบางส่วนครับ




ตั้งแต่ Windows 7 ขึ้นมานอกจากจะมีระบบ System Restore เหมือนวินโดวส์รุ่นก่อนหน้าแล้วจะมี Shadow Copy เพิ่มขึ้นมา  เจ้า Shadow Copy นี้จะใช้เป็น Back up ข้อมูลเอาไว้  ปกติเราจะเรียกใช้ข้อมูลที่ Backup เมื่อเราเผลอไปลบต้นฉบับหรือ Save ทับไฟล์ต้นฉบับเราก็สามารถดึงข้อมูลไฟล์ Backup จาก Shadow Copy กลับคืนได้   กรณีนี้ไฟล์เสียหายเนื่องจากโดนเข้าระหัสเราก็สามารถใช้ประโยชน์จาก Shadow Copy ได้คือไปดึง Backup ที่ Windows สร้างไว้ให้ออกมาใช้แทนไฟล์ที่ถูกเข้าระหัส   หากดึง Backup ของ Windows ไม่ได้ไม่ว่าจะด้วยเพราะเหตุเครื่องนั้นปิด System Restore & Shadow Copy เอาไว้จึงไม่มีไฟล์ Backup หรือไวรัสได้รับการพัฒนาขึ้นมาสามารถทำลายไฟล์ Backup ของ Shadow Copy ได้ก็ไม่มีทางแก้จ่ายเงินให้โจรก็แก้ไม่ได้เพราะไฟล์ถูกลบไปแล้ว

เมื่อปลายปีที่แล้วมีสมาชิกพันทิปโดนไวรัสเรียกค่าไถ่แล้ว ไวรัสไม่ได้ลบ Shadow Copy จึงได้ไฟล์คืนโดยดึงเอาสำเนาไฟล์จาก Shadow Copy ออกมาใช้แทนไฟล์ที่ถูกเข้ารหัสได้บางส่วนที่กระทู้นี้  https://ppantip.com/topic/38270894 การดึง Shadow Copy ก็ทำได้ง่ายโดยการใช้โปรแกรม shadow explorer ดาวโหลดได้ที่นี่  http://www.shadowexplorer.com/ เมื่อติดตั้งและเปิดโปรแกรมขึ้นมาแล้วสามารถเลือกว่าจะดึงไฟล์ของช่วงเวลาต่างๆ เราควรเลือกระยะเวลาไกล้ที่สุดเพราะไฟล์ Backup จะคล้ายไฟล์ที่ถูกทำลายที่สุด

ปล. แถมท้ายอีกนิด  เราไม่ควรปิด System Restore ซึ่งเป็นระบบความปลอดภัยครับ หาก System Restore & Shadow Copy ใช้พื้นที่ HDD มากเกินไปเราก็สามารถลบ System Restore และ Shadow Copy เก่าๆที่เราจะไม่ใช้แล้วออกไปก็ได้พื้นที่ HDD กลับมาเหมือนเดิม ส่วนที่บอกว่าไวรัสมักมาฝังตัวอยู่ที่นี่ เราก็เลือกเปิดเมื่อกำจัดไวรัสเสร็จแล้ว หรือเลือกเปิดตั้งแต่ตอนลง Windows ใหม่ๆเลยแค่นี้ก็ปลอดภัยแล้ว
ตอบกลับ
0
2
Like สาระ?
แสดงความคิดเห็น
โปรดศึกษาและยอมรับนโยบายข้อมูลส่วนบุคคลก่อนเริ่มใช้งาน อ่านเพิ่มเติมได้ที่นี่