Как безопасно спасти данные из зараженной трояном системы?

Благодаря моему младшему брату, мы получили хороший выбор троянов на нашем домашнем ПК, одним из которых является W32 / Murofet.A, файловый заражатель, который распространился на большое количество .exe уже.
Так как это не единственный троян, мы решили просто полностью разорвать жесткий диск и переформатировать его. К сожалению, мы все еще хотим сохранить много данных, таких как фотографии, видео, личные документы и т. Д.
Теперь у меня есть внешний жесткий диск емкостью 2 ТБ, но я хочу быть уверенным, что не буду переносить вредоносные программы, которые есть на домашнем ПК, потому что у меня также есть личные вещи на внешнем устройстве (более 500 гигабайт, поэтому я не могу скопировать его в другом месте). на некоторое время.).

Как бы я лучше всего это сделал? Я подумал о Linux CD / USB-флешке для загрузки, но как я могу убедиться, что не скопировал зараженные данные и не очистил такие данные перед их копированием?
Если потребуется какая-либо дополнительная информация, я буду рад ее предоставить. Заранее спасибо.

4 ответа

Решение

Ваша идея Linux live CD хороша.

Сначала я сделаю частичную очистку жесткого диска, чтобы уменьшить вероятность заражения.

Прежде всего удалите все файлы, которые могут содержать вирус - EXE-файлы, VBS, SCR, COM, BAT, CMD - в основном все, что может быть выполнено напрямую.

# find /path/to/hard/drive -iname '*.exe' -iname '*.vbs' -iname '*.scr' -iname '*.com' -iname '*.cmd' -delete

Если есть какие-либо другие типы файлов, которые вы знаете, что вам не нужно копировать, вы также можете удалить их - такие файлы, как *.ocx и т. Д.

Затем вы можете составить список всех файлов, которые, по вашему мнению, вы хотите сохранить:

# find /path/to/hard/drive -iname '*.txt' -iname '*.jpg' -iname '*.png' [...] >/tmp/keepfiles

Затем вы можете вручную обработать этот файл (/tmp/keepfiles), удалив все файлы, которые вы не хотите сохранять. Вы можете в значительной степени удалить все, что не находится в каталоге /Users. Оставшееся можно скопировать на внешнее устройство с достаточной уверенностью в том, что оно не заражено. Это все еще не гарантировано, хотя.

# rsync -avP --include-file=/tmp/keepfiles /path/to/hard/drive /path/to/external/disk

Это должно поддерживать существующую структуру каталогов в копии.1

Как только это будет сделано, вы можете удалить внешний диск, почистить жесткий диск и установить Windows a-fresh. После того, как вы это сделаете, вам следует установить хорошую антивирусную программу - я рекомендую [Malware Bytes][1], но есть много других хороших программ. Только когда одна из этих программ установлена, вы можете даже подумать о подключении внешнего диска.

Сканируйте внешний диск как первое, что вы делаете, и сканируйте его хорошо.

1 Я не проверял эту команду, поэтому вам может понадобиться настроить ее, чтобы она работала правильно. Прочитайте справочные страницы.

Установите скомпрометированный диск во внешний корпус или подключитесь к системе с хорошими антивирусными и антивирусными инструментами. Сканирование полностью. Скопируйте файлы и избегайте любых exe или других файлов, которые могут содержать вредоносные программы.

Попробуйте использовать ComboFix ' http://www.bleepingcomputer.com/download/anti-virus/combofix

это очистит вашу систему, чтобы вы могли безопасно передавать свои файлы. Используйте его в безопасном режиме с сетью, если можете

Вы на правильном пути. Скопируйте его на внешний жесткий диск с загрузочным компакт-диском Linux, а затем отсканируйте его всеми возможными способами.

Я фанат Trinity Rescue Kit ( TRK Home), но ваш пробег может отличаться.

Другие вопросы по тегам