-
Indice
- 1 Que sont les clichés instantanés de volume ?
- deux Comment récupérer des fichiers en utilisant les versions précédentes de Windows
- 3 Comment récupérer des dossiers à l'aide des versions précédentes de Windows
- 4 Utilisez ShadowExplorer pour restaurer des fichiers à partir de clichés instantanés de volume
- 5 Pourquoi le ransomware essaie-t-il de supprimer les copies du volume fantôme
Que sont les clichés instantanés de volume ?
Depuis Windows XP Service Pack 2 et Windows Server 20013, Microsoft a intégré dans ses systèmes d'exploitation une technologie appelée Volume Shadow Copy Service ou VSS. Ce service permet à Windows d'effectuer des sauvegardes automatiques ou manuelles, ou des instantanés, de l'état actuel des fichiers sur un volume donné (lettre de lecteur). La partie importante de ce processus est que ces copies de sauvegarde peuvent être prises des fichiers même s'ils sont ouverts. Par conséquent, cela fournit un mécanisme que Windows et les programmes de sauvegarde peuvent utiliser pour conserver un historique fiable des fichiers d'un ordinateur.
Lorsque ces sauvegardes sont créées, elles sont stockées dans un conteneur spécial appelé Shadow Volume Copy. Ces clichés instantanés de volume peuvent être utilisés par des logiciels de sauvegarde, des utilitaires ou Windows pour restaurer des fichiers qui peuvent avoir été supprimés ou modifiés d'une manière ou d'une autre. Lorsqu'une sauvegarde est créée à l'aide du service de cliché instantané de volume, les fichiers sont sauvegardés à l'aide d'une méthode de gestion des versions, de sorte que seules les modifications apportées à un fichier, plutôt que le fichier entier, sont sauvegardées. Cela permet à plusieurs versions du même fichier d'être disponibles sans utiliser une grande quantité d'espace disque.
Comme vous pouvez le voir, cette technologie est très utile car elle nous permet de récupérer des fichiers supprimés ou altérés si nécessaire. J'ai trouvé de nombreuses utilisations pour cette fonctionnalité, telles que la récupération d'une ancienne sauvegarde de jeu, la restauration de fichiers qui ont été chiffrés par un ransomware ou la restauration d'un fichier que j'ai accidentellement supprimé.
Dans ce didacticiel, j'ai décrit deux méthodes que vous pouvez utiliser pour restaurer des fichiers à partir d'un cliché instantané de volume. La première méthode utilise la fonctionnalité intégrée de Windows appelée Versions précédentes. La deuxième méthode consiste à utiliser un outil appelé Shadow Explorer, qui vous permet d'explorer et de restaurer des fichiers et des dossiers à partir des différents clichés instantanés d'un ordinateur.
Comment récupérer des fichiers en utilisant les versions précédentes de Windows
Windows dispose d'une fonctionnalité appelée Versions précédentes qui vous permet de restaurer des copies antérieures d'un fichier particulier à partir d'instantanés Shadow Volume Copy. La méthode décrite ci-dessous concerne uniquement la restauration de fichiers individuels à partir de clichés instantanés de volume. Si vous souhaitez restaurer un dossier entier, lisez plutôt cette section.
Pour restaurer des fichiers individuels, ouvrez le dossier contenant le fichier que vous souhaitez récupérer, comme indiqué ci-dessous.
Maintenant, faites un clic droit sur le fichier que vous souhaitez récupérer et sélectionnez les propriétés comme indiqué ci-dessous.
Dans le menu contextuel qui apparaît, cliquez sur l'option Propriétés . Cela ouvrira les propriétés du fichier. Lorsque l'écran des propriétés s'ouvre, cliquez sur l'onglet Versions précédentes . Vous vous retrouverez maintenant sur un écran qui affiche toutes les versions précédentes qui ont été enregistrées dans des clichés instantanés. Notez que chaque version aura la date et l'heure auxquelles elle a été sauvegardée.
Pour récupérer une version précédente d'un fichier vous pouvez cliquer sur les boutons Copie O Restaurer . Le bouton Copier restaurera le fichier à l'emplacement que vous spécifiez, tandis que le bouton Restaurer écrasera le fichier existant sur votre disque dur avec la version précédente. Je vous suggère de créer un dossier sur votre disque dur et d'utiliser le bouton Copier pour restaurer une version précédente dans ce dossier afin de vous assurer que c'est celui que vous voulez.
Pour cela, cliquez sur le bouton Copie et Windows vous demandera un dossier pour restaurer le fichier.
Accédez au dossier ou créez-en un nouveau dans lequel vous souhaitez restaurer la version précédente. Lorsque vous êtes prêt, cliquez sur le bouton Copie .
Windows va maintenant récupérer la version précédente du fichier Shadow Volume Copies et l'enregistrer dans le dossier spécifié. Vous pouvez maintenant fermer la fenêtre des propriétés et accéder à votre fichier selon vos besoins.
Si vous voulez savoir comment récupérer un dossier entier, vous pouvez lire la section suivante.
Comment récupérer des dossiers à l'aide des versions précédentes de Windows
La récupération d'un dossier entier à l'aide de versions antérieures de Windows est essentiellement la même que la récupération d'un fichier. Les étapes sont légèrement différentes cependant, j'ai donc pensé qu'une section dédiée serait utile.
Pour récupérer un dossier, ouvrez le dossier contenant le fichier que vous souhaitez restaurer comme indiqué ci-dessous.
Maintenant, faites un clic droit sur l'espace vide du dossier pour ouvrir le menu contextuel du dossier comme indiqué ci-dessous.
Dans le menu contextuel qui apparaît, cliquez sur l'option Propriétés . Cela ouvrira les propriétés du dossier. Lorsque l'écran des propriétés s'ouvre, cliquez sur l'onglet Versions précédentes . Vous vous retrouverez maintenant sur un écran qui affiche toutes les versions précédentes du dossier qui ont été enregistrées dans des clichés instantanés. Notez que chaque version aura la date et l'heure auxquelles elle a été sauvegardée.
Pour restaurer une version précédente d'un dossier, vous pouvez cliquer sur les boutons Copie O Restaurer . Le bouton Copier restaurera le dossier à l'emplacement que vous spécifiez, tandis que le bouton Restaurer écrasera le dossier existant sur votre disque dur avec les versions précédentes de tous les fichiers qu'il contient. Je vous suggère de créer un dossier sur votre disque dur et d'utiliser le bouton Copier pour restaurer une version précédente dans ce dossier, afin de ne pas écraser accidentellement de bons fichiers.
Pour cela, cliquez sur le bouton Copie et Windows vous demandera un emplacement pour restaurer le dossier.
Accédez au dossier ou créez-en un nouveau dans lequel vous souhaitez restaurer la version précédente du dossier. Lorsque vous êtes prêt, cliquez sur le bouton Copie .
Maintenant, Windows restaurera toutes les versions précédentes du dossier Shadow Volume Copies dans le dossier spécifié. Vous pouvez maintenant fermer la fenêtre des propriétés et accéder au dossier de restauration pour voir si vous avez les fichiers dont vous avez besoin.
Utilisez ShadowExplorer pour récupérer des fichiers et des dossiers à partir de copies de volumes fantômes
Pour restaurer des fichiers et des dossiers à partir de clichés instantanés de volume, vous pouvez également utiliser un programme appelé ShadowExplorer. Personnellement, je préfère cette méthode aux versions précédentes car je trouve plus facile de trouver et de restaurer les versions des fichiers dont vous avez besoin dans une interface conviviale. Lors du téléchargement du programme, vous pouvez utiliser soit le téléchargement de la configuration complète, soit la version portable, car ils exécutent tous les deux la même fonctionnalité.
ShadowExplorer peut être téléchargé à partir de ce lien : Lien de téléchargement de Shadow Explorer
Une fois que vous avez téléchargé et lancé ShadowExplorer, un écran répertoriant tous les lecteurs et les dates de création d'un cliché instantané s'affichera. Sélectionnez le lecteur (flèche bleue) à partir duquel vous souhaitez récupérer des fichiers ou des dossiers et la date (flèche rouge) à partir de laquelle vous souhaitez restaurer. Ceci est illustré dans l'image ci-dessous.
Ensuite, accédez au dossier ou aux fichiers que vous souhaitez récupérer. Lorsque vous êtes prêt, cliquez avec le bouton droit sur le dossier ou le fichier et sélectionnez Exporter comme il est montré dans ce qui suit.
Lorsque vous cliquez sur Exporter, ShadowExplorer affichera une invite demandant où restaurer les fichiers, comme indiqué ci-dessous.
Parcourez ou créez un nouveau dossier pour récupérer vos fichiers puis cliquez sur le bouton D'ACCORD . ShadowExplorer va maintenant restaurer les fichiers à cet emplacement.
Pourquoi le ransomware essaie-t-il de supprimer les copies du volume fantôme
Une tactique courante des infections par ransomware consiste à supprimer les copies du volume caché lors du chiffrement de l'ordinateur de la victime. Comme vous voyez maintenant à quel point il est facile de récupérer des fichiers à l'aide de clichés instantanés de volume, le programme de secours les supprime afin que la victime ne puisse pas le faire.
Lorsqu'un rançongiciel essaie de supprimer les copies du volume fantôme, il utilise généralement la commande :
C:NWindowsN-SysnativeNvssadmin.exe' Supprimer les ombres toutes silencieuses
Lorsque cette commande est exécutée, Windows affiche une invite UAC demandant si la victime souhaite que la commande s'exécute avec des privilèges d'administrateur. Si l'utilisateur autorise la poursuite de la commande, vssadmin.exe efface tous les clichés instantanés de volume de tous les lecteurs de l'ordinateur. Dans certains cas, Ransomware utilisera les commandes powershell ou WMIC pour effacer les SVC à la place.
Quelle que soit la manière dont ces copies sont supprimées, le ransomware supprime les SVC afin que les fichiers chiffrés par le ransomware ne puissent pas être restaurés.
Qu'est-ce que tu penses?
