Ищут пожарные, ищет милиция...
"...Ищут давно, Но не могут найти..." (с), С.Маршак.
Очередная активность вулкана по имени ВАУЛТ вновь накрыла своей электронной волной беспечных пользователей, которые уютно устроились у монитора, принимая извергаемый сетевой "пепел" за манну небесную.
восстановить утраченные в результате внезапной атаки (а так же отсутствия архивных и теневых копий) файлы крайне сложно, во-первых, в силу их шифрования, во-вторых, тщательной зачистки оригинальных документов после удаления.
для проверки возможности восстановления удаленных документов после завершения процесса шифрования использовались несколько инструментов:
getdataback,
r-studio,
ontrack easy recovery,
hetman partition recovery,
testdisk,
winhex
для теста использовались несколько папок с документами:
doc, xls, pdf, jpg, rtf, txt, rar
не ставил цели сравнить данные инструменты, кто лучше, быстрее и больше восстановит документов.
надо было просто посмотреть что подобные инструменты могут что-то восстановить после целенаправленного шифрования и удаления документов.
В случае с ВАУЛТОМ цель не достигнута. документов восстановлено минимальное количество, а след секретного ключа (
secring.gpg) не найден.
поиски в winhex по известным hex (9501D804558F43D6010400BA49F79C06, 9501D804558F3209010400BE8B3CB164, 9501D80455A4EE32010400B53F95F674), и символьным (-----BEGIN PGP PRIVATE KEY BLOCK-----,-----END PGP PRIVATE KEY BLOCK-----) сигнатурам не дали результат.
отсюда вывод: надежда на восстановление документов специализированными инструментами крайне мала, после того как "санкции порвали в клочья нашу экономику"
отсюда другая надежда: на превентивную защиту от запуска шифраторов. например,
Cryptoprevent, а так же на создание защищенных разделов для документов с помощью HIPS.
(с), chklst.ru
