.gif)
darask
Опытный user
- Регистрация
- 15 Окт 2019
- Сообщения
- 109
- Реакции
- 0
Часто одним из первых рефлексов пользователей, при разного рода неполадках с компьютером, является перезагрузка ПК. Эта реакция объясняется тем, что пользователь хочет таким образом прервать действие вируса. В этом посте рассмотрим какой эффект может вызвать перезагрузка при заражении вирусом-шифровальщиком, который уже начал свою работу.
Дело в том, что любой современный вирус-вымогатель настроен на автозапуск после перезагрузки компьютера, поэтому она не даст положительного результата. При этом перезагрузка может привести к перезапуску процесса шифрования файлов и возможной потере ключей шифрования, находящихся в оперативной памяти.
Если вы не обладаете способностями удаления вирусов вручную, то лучший вариант будет перевести ПК в спящий режим и обратиться к тем, кто умеет.
При этом лучше отключить интернет кабель от компьютера.
Выключение тоже имеет место быть, но спящий режим лучше, так как в нём сохраняется копия памяти, где некоторые шифровальщики могут оставлять копии своих ключей шифрования.
Перезагрузка с использованием безопасного режима была хорошим способом устранения старых версий вымогателей, которые использовали блокировку экрана. Но в наше время этот метод вряд ли будет актуален.
Вторая причина почему не рекомендуется перезагружаться состоит в следующем. Часто исполняемый файл вируса-вымогателя, шифрующий данные системы, предназначен для сканирования через подключенные к определенной машине диски. В некоторых случаях вирус может прекратить шифрование из-за проблем с разрешениями или в связи с другими неполадками. Таким образом система может быть зашифрована не полностью благодаря какой-либо удачной ошибке или проблеме. Если вы перезагрузите компьютер, то вирус запустится по новой и, возможно, в этот раз сможет дойти до конца.
Поражённые системы должны пройти 2 шага восстановления после заражения вирусом-вымогателем.
На первом этапе нужно найти артефакты вымогателей (процессы и механизмы персистентности) и удалить их с заражённого устройства.
Вторым шагом надо восстановить данные, если это представляется возможным.
Если пропустить первый шаг, то после следующего перезапуска системы неудалённый вирус может запуститься вновь и зашифровать восстановленные данные.
Дело в том, что любой современный вирус-вымогатель настроен на автозапуск после перезагрузки компьютера, поэтому она не даст положительного результата. При этом перезагрузка может привести к перезапуску процесса шифрования файлов и возможной потере ключей шифрования, находящихся в оперативной памяти.
Если вы не обладаете способностями удаления вирусов вручную, то лучший вариант будет перевести ПК в спящий режим и обратиться к тем, кто умеет.
При этом лучше отключить интернет кабель от компьютера.
Выключение тоже имеет место быть, но спящий режим лучше, так как в нём сохраняется копия памяти, где некоторые шифровальщики могут оставлять копии своих ключей шифрования.
Перезагрузка с использованием безопасного режима была хорошим способом устранения старых версий вымогателей, которые использовали блокировку экрана. Но в наше время этот метод вряд ли будет актуален.
Вторая причина почему не рекомендуется перезагружаться состоит в следующем. Часто исполняемый файл вируса-вымогателя, шифрующий данные системы, предназначен для сканирования через подключенные к определенной машине диски. В некоторых случаях вирус может прекратить шифрование из-за проблем с разрешениями или в связи с другими неполадками. Таким образом система может быть зашифрована не полностью благодаря какой-либо удачной ошибке или проблеме. Если вы перезагрузите компьютер, то вирус запустится по новой и, возможно, в этот раз сможет дойти до конца.
Поражённые системы должны пройти 2 шага восстановления после заражения вирусом-вымогателем.
На первом этапе нужно найти артефакты вымогателей (процессы и механизмы персистентности) и удалить их с заражённого устройства.
Вторым шагом надо восстановить данные, если это представляется возможным.
Если пропустить первый шаг, то после следующего перезапуска системы неудалённый вирус может запуститься вновь и зашифровать восстановленные данные.
