файлохранилище заражено Petya.A

[Пабло Андреев]

есть файлохранилище на виртуалке HyperV в кластере Windows 2012r2. К нему подвязан через iSCSI аппаратный NAS с RAID5 на борту

утром хранилка показала экран с черепом и 

на аппаратном NAS файлов нет. Корзина очищена. RSudio видит удаленные файлы. ДАННЫХ 6(ШЕСТЬ!!) ТБ.

как восстановить файлы, желательно с сохранением структуры папок и названием файлов?

[regist]

 

 

RSudio видит удаленные файлы. ДАННЫХ 6(ШЕСТЬ!!) ТБ. как восстановить файлы, желательно с сохранением структуры папок и названием файлов?

Вопросы по восстановлению удалённых файлов не имеют отношения к удалению вирусов. Переношу в другой раздел.

[andrew75]

regist,

а это действительно был Petya, или какая-то подделка, просто удаляющая файлы?

[Пабло Андреев]

понятия не имею кто конкретно это был. Гнусная малварь заела файлохранилку.

Стоит вопрос как восстановить файлы с сохранением структуры папок. Сейчас запустил Active File Recovery уже второй час сканит, уже 0,4% отсканил ((

[regist]

@andrew75, судя по скрину похож на Петю. А также MBR подменён, значит система не включается и нашими утилитами там делать нечего, поэтому и перенёс сюда.

[andrew75]

Пабло Андреев,

попробуйте еще R.saver - https://rlab.ru/tools/rsaver.html

[regist]

 

 

как восстановить файлы, желательно с сохранением структуры папок и названием файлов?

Для начала у вас разве хоть какая-то программа видит структуру папок и вообще разделы? У вас в теории таблица разделов должна быть пошифрована, так что сначала наверно надо будет восстанавливать таблицу разделов. И насчёт файлов из того что видит утилита пока восстановите хотя бы один. Посмотрите он вообще открывается?

И надеюсь до своих экспериментов вы отключили MBR ? А то система туда продолжает писать, а как следствие ваши шансы восстановить чем больше возитесь тем меньше будут.

[Пабло Андреев]

система загружена со StrelecPE, поэтому в MBR ничего не пишется.

Active File Recovery восстановил 115 гигов как LOST&Found. Данные открываются, но их мало, было 4 тера.

Сейчас сканирую UFS Explorer Professional Recovey.

[regist]

 

 

система загружена со StrelecPE, поэтому в MBR ничего не пишется.

В MBR наверняка не пишется, а вот на сам диск может писаться. Увы, загрузка Live CD отнюдь не панецея вопреки популярному мнению, при загрузке с некоторых на диск всё равно пишется.

 

 

Active File Recovery восстановил 115 гигов как LOST&Found. Данные открываются, но их мало, было 4 тера. Сейчас сканирую UFS Explorer Professional Recovey.

Попробуйте dmde, r.studio, r.saver.

 

И вы проверяли у вас файлы точно зашифрованы? Петя отрабатывает в два этапа, если второй этап прервать, то файлы могут быть целыми.

[Пабло Андреев]

нет, файлы не шифрованы.

записи на диск не идет

[regist]

 

 

нет, файлы не шифрованы.

я имею ввиду, что может не надо искать удалённые файлы, а их вообще не пошифровало.

[andrew75]

regist,

на аппаратном NAS файлов нет. Корзина очищена.