Как безопасно спасти данные из зараженной трояном системы?

Question

Благодаря моему младшему брату мы получили хороший выбор троянов на нашем домашнем ПК, одним из которых является W32/Murofet.A, файловый заражатель, который уже распространился на большое количество файлов .exe .
Поскольку это не единственный троян, мы решили просто полностью разорвать жесткий диск и переформатировать его. К сожалению, мы все еще хотим сохранить много данных, таких как фотографии, видео, личные документы и т.д.
Теперь у меня есть внешний жесткий диск емкостью 2 ТБ, но я хочу быть уверенным, что он не будет переносить все вредоносные программы, которые есть на домашнем ПК, потому что у меня также есть личные вещи на внешнем устройстве (более 500 гигабайт, поэтому я не могу скопировать его в другом месте). на некоторое время.).

Как бы я лучше всего это сделал? Я думал о Linux CD / USB-флешке для загрузки, но как я могу убедиться, что не скопировал зараженные данные и не очистил такие данные перед их копированием?
Если потребуется какая-либо дополнительная информация, я буду рад ее предоставить. Заранее спасибо.

Answer 1

Установите скомпрометированный диск во внешний корпус или подключитесь к системе с хорошими антивирусными и антивирусными инструментами. Сканирование полностью. Скопируйте файлы и избегайте любых exe или других файлов, которые могут содержать вредоносные программы.

Answer 2

Ваша идея о Linux live CD хороша.

Сначала я сделаю частичную очистку жесткого диска, чтобы уменьшить вероятность заражения.

Прежде всего удалите все файлы, которые могут содержать вирус - EXE-файлы, VBS, SCR, COM, BAT, CMD - в основном все, что может быть выполнено напрямую.

# find /path/to/hard/drive -iname '*.exe' -iname '*.vbs' -iname '*.scr' -iname '*.com' -iname '*.cmd' -delete

Если есть другие типы файлов, о которых вы знаете, что вам не нужно копировать, вы также можете удалить их - такие файлы, как * .ocx и т.д.

Затем вы можете составить список всех файлов, которые, по вашему мнению, вы хотите сохранить:

# find /path/to/hard/drive -iname '*.txt' -iname '*.jpg' -iname '*.png' [...] >/tmp/keepfiles

Затем вы можете вручную обработать этот файл (/tmp/keepfiles), удалив все файлы, которые вы не хотите сохранять. Вы можете в значительной степени удалить все, что не находится в каталоге /Users. То, что осталось, можно скопировать на внешнее устройство с достаточной уверенностью, что оно не заражено. Это все еще не гарантировано, хотя.

# rsync -avP --include-file=/tmp/keepfiles /path/to/hard/drive /path/to/external/disk

Это должно поддерживать существующую структуру каталогов в копии. ¹

Как только это будет сделано, вы можете удалить внешний диск, почистить жесткий диск и установить Windows a-fresh. После того, как вы это сделаете, вы должны установить хорошую антивирусную программу - я рекомендую [Malware Bytes] [1], но есть много других хороших программ. Только когда одна из этих программ установлена, вы можете даже подумать о подключении внешнего диска.

Сканируйте внешний диск как первое, что вы делаете, и сканируйте его хорошо.

¹ Я не проверял эту команду, поэтому вам может понадобиться настроить ее, чтобы она работала правильно. Прочитайте справочные страницы.

Answer 3

попробуйте использовать ComboFix ' http://www.bleepingcomputer.com/download/anti-virus/combofix

это очистит вашу систему, чтобы вы могли безопасно передавать свои файлы. Используйте его в безопасном режиме с сетью, если можете

Answer 4

Вы на правильном пути. Скопируйте его на внешний жесткий диск с загрузочным компакт-диском Linux, а затем отсканируйте его всеми возможными способами.

Я фанат Trinity Rescue Kit (TRK Home), но ваш пробег может отличаться.