Windows 10 восстановление файлов из теневой копии

Предвидя, что пользователи неоднократно будут сталкиваться с различными неполадками в работе операционной системы, возникающими как по вине самих пользователей, так и вследствие непредвиденных сбоев, разработчики Microsoft реализовали в Windows функцию автоматического и ручного создания так называемых точек восстановления — резервных копий ключей реестра и наиболее важных системных и программных файлов. Если Windows начнёт работать неправильно, вы можете вызвать мастер восстановления и откатить систему к той точке, на момент которой операционная система работала стабильно.

Но использование функции отката не всегда бывает рациональным. Если вы знаете, какой именно файл повреждён или удалён, нет особой нужды восстанавливать все файлы, так как это в свою очередь может нарушить работу программ, установленных после создания точки восстановления. Но тут возникает вопрос — как получить доступ к резервным копиям файлов точек восстановления и где их вообще искать? Точки восстановления представляют собой системные файлы без расширения, в качестве имени которых используется уникальный 128-битный идентификатор, или иначе GUID. Физически точки восстановления располагаются в скрытой папке System Volume Information, доступ к которой в графической среде у пользователя отсутствует.

Просмотреть и даже скопировать её содержимое, однако, не составляет большого труда. Сделать это можно, загрузив компьютер с LiveCD на базе Linux или изменив права доступа к каталогу System Volume Information. Впрочем, это вам мало что даст, так как файл теневой копии нельзя просто взять и смонтировать или открыть архиватором.

Чтобы получить доступ к содержимому пакетов точек восстановления, вам понадобится специальная утилита ShadowExplorer, предназначенная как раз для просмотра содержимого теневых копий и извлечения из них отдельных файлов. Утилита совместима со всеми популярными версиями Windows, но для работы с ней вам понадобиться установленный компонент NET. Framework 3.5. В использовании инструмент предельно прост. Будучи запущенной, утилита выведет содержимое первой же точки восстановления, если же точек несколько, нужную можно будет выбрать в выпадающем меню в левом верхнем углу окна программы. 

Само окно приложения имеет две колонки: в левой отображается древовидная структура защищённого раздела, в правой — каталоги с их содержимым, которые вы можете открывать обычным двойным кликом. Процедура восстановления файлов или папок в ShadowExplorer столь же проста, как и их просмотр: кликните правой кнопкой мыши по выделенному в правой колонке объекту, выберите в открывшемся меню единственную опцию «Export» и укажите место для извлечения данных.  

Использование ShadowExplorer — не единственный способ вытащить файлы из точек восстановления. Получить доступ к теневым копиям Windows можно средствами самой операционной системы, создав на файл копии обычную символическую ссылку! Откройте от имени администратора командную строку и выведете командой vssadmin list shadows список всех имеющихся на компьютере точек восстановления. В результате вы получите набор данных каждой теневой копии — её идентификатор, исходный том, том теневой копии, название поставщика и так далее. 

Вам нужен том теневой копии. Скопируете его, сформируйте и выполните вот такую команду:

mklink /d %SystemDrive%\shadow \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\

Обратите внимание на слеш в конце, не убирайте его, иначе ссылка создана не будет. В результате выполнения команды в корне системного раздела у вас появится символическая ссылка на папку shadow, перейдя по которой вы прямиком попадёте в теневую копию, откуда без проблем сможете скопировать любой файл или папку.

Ну или почти любой, так как на некоторые каталоги, например, папку config с файлами кустов реестра, у вас не будет соответствующих прав доступа. Забрать их у работающей Windows вряд ли получится, но можно загрузить систему в безопасном режиме или из-под спасательного диска на базе WinPE, тогда вы сможете беспрепятственно скопировать защищённые папки или файлы в нужное вам расположение.  

А на этом, пожалуй, все. Есть, правда, ещё один способ достучаться до файлов теневых копий — включить для диска с точками восстановления общий доступ, а затем командой \\%computername%\C$ открыть к нему сетевой доступ для самого себя. Но здесь у вас так же могут возникнуть проблему с доступом, поэтому использование ShadowExplorer для копирования файлов и папок из точек восстановления представляется нам куда более удобным и практичным.

Продолжаем серию статей о методах противодействия вирусам-шифровальщикам. В прошлый раз мы рассмотрели простую методику превентивной защиты от шифровальщиков на файловых серверах с помощью FSRM. Сегодня речь пойдет о методе восстановления данных, позволяющем безболезненно восстановить файлы, в случаях, если вирус уже прорвался и зашифровал документы на компьютере пользователя.

Самый простой способ вернуть оригинальные данные после шифрования документов трояном-шифровальщиком – восстановить данные из резервной копии. И если централизованное резервное копирование данных на серверах еще можно организовать, то бэкап данных с компьютеров пользователей обеспечить гораздо сложнее. К счастью, в Windows уже есть встроенный механизм ведения резервных копий — теневые копии, создаваемые службой Volume Shadow Copy Service (VSS).

Для обеспечения возможности восстановления старых версий файлов из VSS снапшотов, должны выполняться следующие условия:

• служба VSS должна быть включена для защищаемых томов
• на диске должно быть достаточно свободного места для хранения снимков (не менее 10-20%)
• у пользователя не должно быть прав локального администратора на своем компьютере (большинство современных шифровальщиков, запущенных с правами администратора удаляют все доступные VSS снимки), а защита User Account Control (UAC) включена

Рассмотрим механизм централизованного управления политикой создания снимков в доменной среде Active Directory для обеспечения возможности восстановления данных после атаки вируса-шифровальщика.

Включение службы VSS на компьютерах с помощью GPO

В первую очередь создадим групповую политику, которая бы включала службу Volume Shadow Copy Service (VSS) на компьютерах пользователей. Для этого в консоли GPMC.msc создадим новый объект GPO с именем VSSPolicy и назначим его на OU с компьютерами пользователей.

Перейдем в режим редактирования GPO. Затем в разделе Computer Configuration->Windows Settings->Security Settings->System Service в списке служб нужно найти службу Volume Shadow Copy и задать для нее тип запуска Automatic.

Копирование файла vshadow.exe на компьютеры пользователей с помощью GPO

Для создания и управления теневыми копиями на ПК пользователей нам понадобится утилита vshadow.exe из комплекта Windows SDK. В данном примере мы будем использовать vshadow из SDK для Windows 7 x64 (в моем случае она корректно отработала как на Windows 7 так и на Windows 10 x64). С помощью GPP скопируем файл vshadow.exe в каталог %windir%\system32 на все компьютеры.

Совет. Файл vshadow.exe можно скачать по этой ссылке: vshadow-7×64.zip

Для этого в разделе политики Computer Configuration –> Preferences –> Windows Settings -> Files создадим новую политику, копирующую файл vshadow.exe из каталога \\domain.loc\SYSVOL\domain.loc\scripts\ (файл должен быть скопирован сюда предварительно) в каталог %windir%\system32\vshadow.exe (нужно указывать имя файла в destination) . Эту политику можно настроить, чтобы она отработала только один раз (Apply once and do not reapply).

PowerShell скрипт для создания теневых снимков всех томов

Далее нам понадобится скрипт, который бы определял список дисков в системе, включал бы для всех ведение теневых снимков и создавал бы новый VSS-снапшот. У меня получился такой скрипт:

$HDDs = GET-WMIOBJECT –query "SELECT * from win32_logicaldisk where DriveType = 3"
foreach ($HDD in $HDDs) {
$Drive = $HDD.DeviceID
$vssadminEnable ="vssadmin.exe Resize ShadowStorage /For=$Drive /On=$Drive /MaxSize=10%"
$vsscreatess = "vshadow.exe -p $Drive"
cmd /c  $vssadminEnable
cmd /c  $vsscreatess
}

Первая срока позволяет найти все диски в системе, а затем для каждого диска утилита vshadow активирует ведение теневых копий, которые должны занимать не более 10% места и создает новую копию.

Этот скрипт сохраним в файл vss-script.ps1 и также скопируем на компьютеры пользователей через GPO.

Задание планировщика по созданию VSS-снимков

Последнее, что осталось сделать – создать на всех ПК задание планировщика, которое регулярно бы запускало скрипт PowerShell vss-script.ps1 и создавало бы новый vss снимок дисков. Проще всего создать такое задание через GPP. Для этого в разделе Computer Configuration -> Preferences -> Scheduled Tasks создадим новое задание планировщика (New-> Scheduled Task (at least Windows 7) с именем: create vssnapshot, которое запускается от имени NT AUTHORITY\System с повышенными правами.

Допустим, задание должно запускаться каждый день в обед в 13:20 (здесь нужно самостоятельно продумать необходимую частоту создания снимков).

Запускаемый скрипт: %windir%\System32\WindowsPowerShell\v1.0\powershell.exe

с аргументом %windir%\system32\vss-script.ps1

Восстановление исходных данных из теневой копии тома

В том случае, если шифровальщик все-таки попал на ПК пользователя и сделал свое черное дело, после искоренения его из системы, администратор может восстановить документы пользователя из последнего снимка.

Список всех доступных снимком можно вывести командой:

vssadmin.exe list shadows

В нашем примере последний снимок сделан 10/6/2016 1:33:35 AM и имеет Shadow Copy ID = {6bd666ac-4b42-4734-8fdd-fab64925c66c}.

Смонтируем снапшот на чтение в виде отдельного драйва системы по его ID:

vshadow -el={6bd666ac-4b42-4734-8fdd-fab64925c66c},Z:

Теперь с помощью File Explorer или любого файлового менеджера скопируйте оригинальные файлы с диска Z:, представляющего собой содержимое подключенного снимка диска.

Чтобы отмонтировать диск со снимком:

mountvol Z:\ /D

Совет. Есть и более удобный графический инструмент для просмотра и извлечения данных из снимков VSS – ShadowExplorer.

Заключение

Конечно, теневые копии VSS не являются методом борьбы с вирусами-шифровальщиками и не отменяют комплексного подхода в организации безопасности сети от вирусов (антивирусы, блокировка запуска исполняемых файлов с помощью SRP или AppLocker политик, репутационные фильтры SmartScreen и т.д.). Однако, простота и доступность механизма теневых копий томов является, на мой взгляд, большим преимуществом этого простого способа восстановления зашифрованных данных, который очень вероятно пригодится в случае проникновения заразы на компьютер пользователя.

Если важные данные были удалены из «Корзины» или по сети, это не всегда означает, что всё потеряно. Можно попытаться их восстановить из теневой копии.

Теневое копирование – это механизм, который позволяет периодически создавать точные папок и файлов, даже если они в этот момент открыты или заблокированы системой. Теневые копии создаются через определённые интервалы времени в соответствии с расписанием. Если квота, выделенная на жёстком диске для хранения теневых копий будет исчерпана, старые теневые копии будут постепенно замещаться более новыми.

Обычно теневые копии данных надёжно скрыты от пользователя. Поэтому для того чтобы получить к ним доступ необходимо воспользоваться командной строкой.

О том как windows 10 отключить проверку подписи драйверов читайте в дополнительном материале

Получение списка теневых копий

Для работы с теневыми копиями необходимо иметь особые привилегии. Поэтому командную строку необходимо запустить от имени «Администратора».

Получить список имеющихся на данный момент теневых копий можно выполнив команду:

Чтобы не утруждать себя пролистыванием вывода консоли список теневых копий можно выгрузить в текстовый файл в любую доступную папку жесткого диска. Список теневых копий, который сохраняется в файл, по своему содержанию абсолютно идентичен тому, что выводится на консоль.

Папка, в которую будет сохранён текстовый файл на момент вызова вышеприведённой команду уже должна существовать.

Файл со списком теневых копий сохраняется в кодировке MS-DOS и, при попытке его открыть с помощью «Блокнота» все буквы, которые не входят в латинский алфавит, превратятся в нечитаемый набор символов. Поэтому, если речь идёт о локализованной версии Windows лучше заранее позаботиться о наличии хорошего редактора с поддержкой нескольких кодировок. Например, можно воспользоваться бесплатным Notepad++.

Сам файл со списком имеет приблизительно следующее содержание:

vssadmin 1.1 — Программа командной строки для администрирования службы теневого копирования томов
(C) Корпорация Майкрософт (Microsoft Corportion), 2001-2013.

Содержимое для ID набора теневых копий: {f47b5c66-0a80-420b-a40a-b51ccaed97d3}
Содержит 1 теневых копий на время создания: 16.08.2016 18:04:34
ID теневой копии: {ab21771a-6988-4d12-8324-2b361ed89c90}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

Содержимое для ID набора теневых копий: {f416f560-4859-414a-9bbf-21d003db4d72}
Содержит 1 теневых копий на время создания: 19.08.2016 21:52:49
ID теневой копии: {0d8a7b3f-ea32-4ca2-921a-8e066d3349df}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

Содержимое для ID набора теневых копий: {7626bc06-7d05-42a6-9d43-0cb591e10dbe}
Содержит 1 теневых копий на время создания: 26.08.2016 0:53:14
ID теневой копии: {4bce02fd-7bbe-4b72-8453-0f6a0baa52a3}
Исходный том: (C:)\\?\Volume{8a563995-0000-0000-0000-501f00000000}\
Том теневой копии: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5
Размещающий компьютер: DESKTOP-001
Обслуживающий компьютер: DESKTOP-001
Поставщик: «Microsoft Software Shadow Copy provider 1.0»
Тип: ClientAccessibleWriters
Атрибуты: Сохранение, Доступно клиентам, Без автоматического  освобождения, Разностная, Восстановлен автоматически

Вначале файла небольшой заголовок, после которого сразу следует список копий с подробным указанием их параметров.

В данном примере на компьютере создано три теневые копии. В зависимости от конкретного компьютера их количество и значения параметров могут отличаться. Значения некоторых параметров будут практически гарантированно иметь отличия так как содержат в своём составе GUID.

Подключение нужной теневой копии

Теневую копию можно подключить в папку Windows в виде символической ссылки с помощью команды mklink.

Формат вызова команды:

Несмотря на то, что в списке теневых копий том указан без символа «\» в конце. Его наличие при вызове данной команды обязательно.

В качестве примера подключим в папку MyFolder теневую копию с именем тома \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy5. Вызов команды будет имеет следующий вид

В результате её выполнения в папке MyFolder появится символическая ссылка на требуемую теневую копию.

Для того чтобы перейти к просмотру подключенной теневой копии достаточно сделать по данной символической ссылке двойной клик мыши.

Восстановление папок и файлов из теневой копии

Перейдя в теневую копию, мы увидим уже знакомую нам структуру папок и файлов.

Чтобы восстановить нужную папку или файл достаточно просто найти её в файловой системе и скопировать из теневой копии в обычную папку.

После того как всё, что было необходимо скопировано, лучше удалить ссылку на теневую копию. Сделать это можно либо командой:

Применительно к вышеприведённому примеру:

Либо просто удалив ссылку в проводнике Windows как обычный ярлык.

Оставлять символические ссылки на теневые копии бессмысленно так как в случае удаления копии ссылка перестаёт работать.

Результат восстановления

Итогом всех проделанных операций должны стать данные (папка или файл) восстановленные по состоянию на дату создания копии.

Если копия создана незадолго до удаления восстановленных данных, велики шансы, что ущерб минимален или отсутствует вовсе (данные восстановлены полностью). Данные восстановленные из давних копий могут быть далеко не актуальными.

Кроме того, не исключено, что теневая копия того или иного файла может быть сделана неудачно. Особенно если с файлом в момент создания копии работали. Тогда несмотря на то, что файл корректно отображается в проводнике в нём на самом деле сохранены повреждённые данные. Восстановить их чаще всего невозможно.

Теневое копирование, однозначно мощный инструмент в плане обеспечения надёжности хранения информации. Но, лучше всего по возможности работать с файловой системой аккуратно и как можно чаще создавать резервные копии. Особенно для файлов и папок, которые представляют особую важность.