Все. Опять приехали! И снова на экране монитора – баннер вируса WinLocker! Нет, не буду писать его название по-английски, много чести.
Согласен английскими буквами писать многое, тот же Windows, например. Но Винлокеру слишком много чести, чтобы для его написания переключать раскладку клавиатуры! Поэтому будет он в дальнейшем называться Винлокер.
«…Пальто мне заказали с воротником.
Отобрали мы у ателье это пальто…
…Хотели им насильно вернуть —
их больше, не хотят они…
…Приехали домой, снова пальто на глаза попалось.
У нас с собой было…»
М.Жванецкий «Нормально, Григорий!
Отлично, Константин!»
.…А еще писали в обзорной статье от Dr.Web, что в феврале 2012 года количество Винлокеров уменьшилось, чуть ли на 30%. Потому что пользователи ПК перестают платить мошенникам, и те теперь ищут новые способы подзаработать. Но на меня эта статистика, по-видимому, не распространяется.
Даже смотреть на баннер не хочу, и вчитываться в текст не хочу, и смотреть на предложения об оплате для получения кода разблокировки тоже не хочу. Первый раз было даже чуточку интересно, вроде как небольшое приключение. А теперь тошно становится.
Пишут (в том же обзоре Dr.Web), что мошенники, создающие Винлокер, действуют из Латвии. Хорошая и красивая страна! Рига, Юрмала, Елгава и еще много других красивых больших и маленьких городов. Интересно, в каком из них эти мошенники работают? И что, их нельзя поймать? Евросоюз, все-таки, не хухры-мухры!
Ну да, ладно. Все, приехали. Сливай воду, туши свет, как говорится. Нажимаю и удерживаю долго в нажатом состоянии кнопку питания (это аварийное отключение ноутбука так делается), раздается щелчок, затем звук «ви-и-и-у» (это винчестер и вентиляторы останавливаются), и компьютер выключен. А вместе с ним выключен, надеюсь, навсегда, баннер Винлокера.
План или У нас с собой было
Есть ли у вас план, мистер Фикс? —
Есть ли у меня план?
Есть ли у меня план?
Да у меня целых три плана!
(из мультфильма «80 дней вокруг света»).
Что будем делать с баннером? Каков наш дальнейший план? Дело в том, что в этот раз я гораздо лучше вооружен (но не опасен!). Ведь у нас с собой было. Что было? Архивные копии, которые я регулярно (практически ежемесячно) делал, вот что!
Итак, что мы имеем для борьбы с Винлокером? Во-первых, сам Винлокер, как источник неприятностей и предпосылка для организации боевых действий против него.
Во-вторых, имеем диск восстановления системы Windows 7. Его я создал месяца три тому назад. Но, по идее, он не должен устаревать, так как на нем нет каких-либо текущих данных, важных копий и т.п. Он содержит необходимый минимум файлов, чтобы с него загрузить Windows, а затем восстановить систему и архивные данные из архивных копий.
В-третьих, имеем образ системы месячной давности, записанный на внешний жесткий диск. Также на этом диске есть еще более ранние образы системы, штук 5 образов, архивированные примерно каждый месяц. Образ системы месячной давности – это хорошо. Пусть там нет самых последних обновлений, но месяц назад система работала исправно, поэтому ее можно из этой копии смело восстанавливать.
Наконец, в-четвертых, имеем архивные копии данных, хранящиеся на убитом Винлокером ПК. Последняя копия имеет месячную давность, как и образ системы. Это плохо. За месяц многое сделано. Но скорее всего, данные не нужно будет восстанавливать. Попробуем восстановить только систему из сохраненного в архиве образа системы. А данные, наверняка, остались, нетронутые вирусом.
Итак, наш план, составленный согласно приведенным выше четырем пунктам.
- Убиваем «во-первых» Винлокер за счет следующих действий:
- Загружаемся с того, о чем идет речь выше со слов «Во-вторых».
- Восстанавливаем систему из того, что описано выше «В-третьих».
И празднуем победу над Винлокером, в том числе, мысленно вместе со всеми честными гражданами Латвии!
Первый облом
Первый шаг в борьбе – это загрузка с диска восстановления системы. Казалось бы, чего проще. Берем диск, вставляем его, запускаем ПК, загружаемся с него. И все.
Да не тут-то было. Как открыть крышку DVD-устройства, если питание ПК выключено? А если включаешь питание, то появляется надпись о том, что система Windows была остановлена некорректно, и предлагаются различные варианты загрузки, кроме загрузки с диска восстановления системы. Нет этого в меню!
К тому же работает счетчик, который через 30 секунд предлагает заново загрузить Windows. А это означает, что через 30 секунд я опять буду лицезреть баннер Винлокера. А я дал себе зарок больше на него даже не смотреть, назло недобросовестным латышам! «Фигвам – древнее индейское жилище», – как говорил кот Матроскин.
Снова выключаю ПК (длительным нажатием на кнопку питания). Напрягаю мозг (сложное занятие, скажу вам!), вспоминаю, что для загрузки с DVD-устройства нужно в BIOS изменить порядок загрузки (на страничке «Boot», что в переводе означает «Загрузка»). Но для этого надо попасть в BIOS. Опять напрягаюсь, вспоминаю, что при загрузке ПК надо удерживать нажатой клавишу, кажется, F1.
Включаю питание, жму F1. Нулевой результат. Опять попадаю в меню загрузки системы, опять работает счетчик, обратный отсчет от 30-и секунд. Выключаю ПК снова. Начинаю понимать, что мой ноутбук защищен от меня, от моей возможности вмешиваться в BIOS. Или нужно читать инструкцию, а инструкция записана на жестком диске ПК, а ПК не работает! Круг замкнулся.
Тогда решаюсь на эксперимент. Включаю питание и, пока обратный отсчет идет, за эти 30 секунд открываю DVD-устройство, вставляю в него диск восстановления системы, закрываю устройство. И опять выключаю ПК. В результате – ПК выключен, но внутри DVD-устройства стоит диск восстановления системы. Ура! Первое действие выполнено.
Снова включаю питание и, о чудо, компьютер начинает грузиться с вставленного в него диска восстановления системы. «Ура, заработало!» – это опять цитата кота Матроскина.
Второй облом
Итак, ПК загружен с диска восстановления системы. На экране появился запрос на подключение устройства, где хранится образ системы. Подключаю внешний жесткий диск с архивными копиями образа системы к USB-порту ПК.
Небольшая пауза, и на экране появляются заголовки всех моих архивных копий с указанием дат копирования. Можно выбирать. Выбираю самую последнюю архивную копию образа системы, месячной давности, как я и предполагал. Жму клавишу «Enter», и получаю приятнейшее сообщение о том, что система будет восстановлена из образа от такого-то числа, месяца, года, и что это может занять какое-то время. «Нормально, Григорий! Отлично, Константин!» (М.Жванецкий).
Будем ждать, и готовить банкет по случаю бескровной победы над Винлокером. Тем более что для этого как раз есть время, часа полтора, пока идет восстановление системы из архивной копии.
Ну что, воришки винлокерные, много вы с меня получили? Хрен вам! Трудитесь дальше! Чем меньше вам будут платить бедные несчастные обманутые вами пользователи ПК, отловившие ваши вирусы, тем скорее вы загнетесь. Ибо при капитализме, в котором вы обитаете в Латвии, без денежек вам – крышка! Как говорил К. Маркс: «Призрак бродит по Европе…». Ох, и доберется он до вас, останетесь банкротами, будете всю жизнь на банки работать!.. Ну ладно, это я так, полтора часа надо же чем-то себя занять…
Часа через полтора – сообщение, что все готово. Даже как-то скучно. Ни тебе борьбы, ни тебе побед, ни поражений. Просто читаешь, что восстановление системы успешно завершено. И все. То есть, выполнив два действия, загрузив ПК с диска восстановления системы и восстановив затем образ системы месячной давности, мы вернули операционную систему ПК к тому состоянию, которое она имела месяц назад.
Вот что значит «а у нас с собой было»! Был диск восстановления системы, и была архивная копия образа системы. «Нормально, Григорий! Отлично, Константин» (М.Жванецкий).
Ну что, загружаем? Пожалуй, да, только бы не забыть перед выключением ПК (перед перезагрузкой ПК) вынуть диск восстановления системы из DVD-устройства. Пока помним, вынимаем диск. «Спасибо тебе, дорогой, ты меня очень выручил!» – это я к диску обращаюсь.
Да, и еще надо бы отключить внешний жесткий диск с архивными копиями от USB-порта. Это лучше бы сделать не «варварским» методом (когда просто отключаешь диск при работающем ПК), а желательно сделать это при отключенном ПК. Поэтому принимаю решение сначала ПК выключить полностью, и лишь потом начинать загрузку заново. То есть отказываюсь от перезагрузки.
Итак, ПК выключен. Перед этим вынут DVD-диск восстановления системы. После этого отключен от USB-порта внешний жесткий диск. Можно включать питание и начинать загрузку. Включаем… Ждем… Загрузились без проблем! Windows 7 безукоризненно работает, баннера Винлокера нет и в помине. Ура?!
Так-то оно так… Windows работает безукоризненно. А данные? Проверяю. Данные на месте, вроде бы. Ура?! Проверяю тщательнее и вижу… данные есть, но не все, а только месячной давности. Все новые данные за месяц, который прошел с момента последнего архивирования образа системы, бесследно пропали. Караул! Ограбили! Мы так не договаривались!
Кто виноват? и Что делать?
Извечные вопросы, поставленные еще классиками: А.Герценом в романе «Кто виноват?» и Н.Чернышевским в романе «Что делать?».
Кто виноват? Почему не сохранились данные? Вернее, почему сохранились только данные месячной давности? Я ведь восстанавливал только систему из образа. Я ведь не восстанавливал данные из архива. По идее, данные должны были сохраниться в неизменном виде.
Копирование образа системы я делал с помощью сервиса, заложенного в Windows 7 «Архивация и восстановление». Когда вызываешь эту программу («Пуск» — «Панель управления» — «Архивация и восстановление»), то видишь слева в окне ссылки на действия. Среди них «Создать диск восстановления системы» (этим способом и был создан диск, который помог мне восстановить Windows) и «Создание образа системы» (это мне позволяло каждый месяц записывать на внешний жесткий диск новый образ системы).
Отдельно в этом сервисе «Архивация и восстановление» стоит «Архивация данных». Это можно делать не только вручную, но и настраивать его на автоматическое периодическое копирование всех данных пользователя. Этим способом можно копировать не только образ системы (в настройках можно указать автоматическое создание образа системы при каждой архивации данных пользователя), но и остальные данные пользователя, хранящиеся не только на диске C:, но и на других дисках ПК.
Я пользовался этим сервисом, я копировал свои данные. Делал это раз в месяц. Но я ведь не восстанавливал эти данные их архивной копии. Я лишь восстановил образ системы, рассчитывая на то, что все мои данные сохранятся в неизменном виде. Ан нет, данные не сохранились. Почему?
И что делать? На последний вопрос ответить проще простого: думать надо! А не просто тыкать во все возможные меню и окна сервиса «Архивация и восстановление»! Не думал, тыкал, вот и получил!
А если подумать? Винни Пух (наш, советский) говорил: «Я думал, думал… Я все понял. Это неправильные пчелы, они дают неправильный мед!». А если подумать, то получается следующее. Все свои данные я хранил на диске C:. Чтобы их как-то отделить от остальной системы я создал на диске C: папку с наименованием «D». Затем сделал к этой папке ярлык, который назвал «Disk_D». И все свои данные писал исключительно в эту папку. Своего рода я имел виртуальный диск D:.
Однако я не учел, что для программы «Архивация и восстановление» такое разделение диска ни о чем не говорит. И эта программа, создавая архивную копию образа системы, помещала в архив не только системные файлы, но и все файлы из папки «D». Потому что она лежала на диске C:. Соответственно, при восстановлении системы из образа восстановились не только системные файлы, но и все мои данные. Только были эти данные месячной давности, как и архивная копия образа системы. Думать надо было!
Итак, кто виноват, понятно. Не я же, конечно, а сервис от Microsoft «Архивация и восстановление» (это, конечно, неудачная шутка!). Вряд ли можно найти кого-то кроме меня, кто был бы виноват в этой ситуации. Думать надо было!
И что теперь делать? Решил, что надо смириться с потерей данных. Единственное, что можно восстановить – это почту с Яндекса. Здесь все можно восстановить, спасибо Яндексу! Они там все продумали, в отличие от меня! Заходим в почту через браузер. Находим копии ранее скачанных писем в папке «Удаленные». Отмечаем письма за последний месяц и переносим их в папку «Входящие». Выходим из почты. Загружаем Outlook. И через несколько минут все письма за прошедший месяц снова закачаны и видны в папке «Входящие» в программе Outlook.
А остальное? Увы, мне. Больше я этих данных не увижу. Придется смириться, и считать это потерями в справедливой борьбе с Винлокером и его изощренными (и извращенными) изобретателями. Действительно, извращенцы, раз они всем это приписывают в своих баннерах. «У кого чего болит, тот о том и говорит!» (цитата, не помню чья).
Что делать дальше?
Теперь нельзя повторять старые ошибки. Нужен новый план. 
Он таков:
1) Разбить диск на два: C: и D: – это раз.
2) Переписать все мои данные (которые еще остались!) с диска C: (из папки «D») на диск D: – это два.
3) Заново настроить «Архивацию и восстановление» с учетом новой конфигурации ПК – это три.
4) И, наконец, сделать архивные копии – это четыре.
Идем по плану.
Один. Разбиение жесткого диска на два. Принимаю решение не делать это самостоятельно. Почему? Ведь существуют вполне простые и понятные программы. Но я объясняю это себе тем, что данное действие мне, возможно, придется сделать единственный раз. И заниматься изучением этого – потеря времени. Лучше обращусь к знакомым сисадминам. Обратился – получил обратно комп с разбитым диском. Все мое восстановленное добро осталось на диске C:, а диск D: пока остается пустым.
Два. Переписываю все данные из папки «D» на диске C: на диск D:. Здесь тоже все просто и понятно. Только нужно набраться терпения, пока копирование завершится. И еще. Так как я пользуюсь для получения и отправки почты программой Microsoft Outlook, то нужно все файлы, которые создаются этой программой тоже переписать на диск D:. Здесь все не совсем просто и не так уж очевидно.
Надо использовать сервис «Управление файлами данных». Но при желании можно разобраться. Что и делаю. Все, теперь все мои данные находятся на диске D:. И в заключение папку «D» с диска C: я стираю (удаляю).
Три. Для начала форматирую заново внешний жесткий диск, на который писались архивные копии. Зачем? Чтобы все начать «с чистого листа» и проконтролировать, каким образом будут создаваться архивы образа системы и архивы данных. Форматировать надо так, чтобы файловая система на диске была NTFS. Это – обязательное условие для «Архивации и восстановления». Отформатировал.
Затем вызываю «Архивацию и восстановление» (через «Пуск» и «Панель управления»). Там нажимаю «Изменить параметры». Выбираю свой отформатированный диск в качестве устройства, на которое будет производиться архивное копирование. Жму «Далее». На вопрос «Что следует архивировать?» выбираю «Предоставить мне выбор» (раньше до Винлокера я отвечал «Предоставить выбор Windows (рекомендуется)», но теперь я этому не доверяю!). Жму «Далее».
Нажимаю галочки против тех данных ПК, которые я собираюсь архивировать:
- «Архивация данных новых пользователей» (это хранится на диске C:),
- «Библиотеки пользователя» (это тоже хранится на диске C:),
- «Локальный диск D:» (это уже мой новый диск с моими данными).
Напротив «Локальный диск C:» я галочку не ставлю, так как диск C: копируется при создании образа системы.
И не ставлю галочку против надписи «Включить образ системы дисков». Потому что не хочу, чтобы образы системы копировались при каждом архивировании, я собираюсь это делать и дальше вручную. Жму «Далее».
Вижу страницу «Проверьте параметры архивации», где выводятся все выбранные мною параметры. Потом жму «Изменить расписание». И устанавливаю правило: копировать еженедельно в указанный день и в указанное время. В это время компьютер должен быть включен, и внешний жесткий диск должен быть к нему подключен. Тогда архивирование указанных мною данных будет произведено автоматически.
Заканчиваю, нажимая на «Сохранить параметры и выйти». Все, параметры архивации моих данных настроены.
Четыре. Заново делаю диск восстановления системы. В окне «Архивация и восстановление» жму на «Создать диск восстановления системы». Иду по шагам, вставляю чистый DVD-диск в DVD-устройство, жду какое-то время. И диск восстановления системы готов. Положу его подальше, чтобы потом было поближе найти!
Вручную делаю архивацию образа системы. Теперь-то я уверен, что в этом образе нет моих данных. Поэтому в дальнейшем я могу образ системы часто не копировать. Потому-то я и исключил создание образа системы из автоматической архивации моих данных. Жму на «Создание образа системы» в окне «Архивация и восстановление».
Мне предлагается на выбор:
- записать образ системы на внешний жесткий диск, подключенный к компьютеру,
- или записать образ системы на диск D:.
Принимаю решение сделать образ системы дважды, на оба диска. Почему? Чтобы еще хранить образ системы непосредственно на компьютере, и соответственно из этого образа восстанавливать систему, не имея под рукой внешнего жесткого диска.
Сначала делаю образ системы на диск D:. Компьютер «ругается», предупреждает, что я поступаю неправильно, записывая образ системы на тот же физический носитель, на котором находится сама система. Здесь Windows совершенно прав.
Если «грохнется» мой жесткий диск внутри ПК, то никакая архивная копия системы, расположенная на нем же, мне уже не поможет. Это факт. Но я ведь страхуюсь не от этого, а от очередного Винлокера и очередных безобразий незаконопослушных граждан Евросоюза! А для этого мне вполне подходит диск D: на моем единственном физическом носителе данных, разбитом на две части знакомыми сисадминами.
Затем копирую образ системы на внешний жесткий диск. Тут уже Windows не ругается. Хоть бы похвалил, что ли! Ан, нет, «молчит, проклятый» (это короткая цитата из фильма «Иван Васильевич меняет профессию»).
Итак, образы системы сделаны на диск D: и внешний жесткий диск. Остается сделать архивную копию данных. Решаюсь сделать это в автоматическом режиме. Набираюсь терпения, дожидаюсь объявленного дня недели и времени, которые я указал в настройках архивации. Подключаю внешний жесткий диск, и оставляю ПК включенным. И, о счастье, через некоторое время (часа через полтора) на внешнем жестком диске остается архивная копия.
Надо, Федя, надо…
Теперь эти действия по архивации образа системы и моих данных я повторяю регулярно. Вручную примерно раз в месяц копирую образ системы (на диск D: и на внешний жесткий диск). И автоматически еженедельно в указанное в настройках время делаю архивную копию данных. Компьютер это делает автоматически, а мне надо только вспомнить, что комп в это время не нужно выключать, и что надо обязательно подключить к нему внешний жесткий диск.
Если диск заполняется, его можно почистить, удалив наиболее старые копии. Для этого в окне «Архивация и восстановление» есть опция «Управление пространством». Там все удобно, видны все копии, даты их создания, размеры. Можно удалять, хоть все сразу, но лучше не поступать столь опрометчиво. Удаляю только устаревшие архивные копии.
Теперь действительно «у нас с собой было» (М.Жванецкий). Осталось дождаться очередного Винлокера! А, может, не надо? «Надо, Федя, надо!» – говорил Шурик в кинофильме «Операция Ы».
А, может, все-таки пронесет? Нет, к сожалению, не пронесет… Как правильно говорят, вопрос не в том, наступит черный день или нет. Вопрос в том, когда именно это произойдет. Хорошая мысль, главное – в тему!
P.S. Статья закончилась, но можно еще почитать:
Архивация данных средствами Windows 7
Рейтинг бесплатных компьютерных антивирусов
Для разблокировки отправьте sms?