Kako da vratite fajlove i foldere pomoću Volume Shadow Copies?
Tutorijal kako da podesite Volume Shadow Copies, a zatim vratite izbrisane, modifikovane i kriptovane fajlove pomoću Volume Shadow Copies.
Volume Shadow Copy Service (VSS) je tehnologija koja omogućava da se u Windowsu napravi automatski ili manualni bekap fajlova u određenom trenutku na datoj particiji. Ova tehnologija dostupna je od Windows XP Service Pack 2 i Windows Server 2003.
Volume Shadow Copy Service je veoma koristan i multifunkcionalan jer se pomoću njega mogu vratiti stari sačuvani fajlovi, fajlovi koji su slučajno obrisani, fajlovi koje je zaključao ransomware itd.
Bekap može da se napravi čak i kada su fajlovi otvoreni. Ovaj bekap se čuva u specijalnom kontejneru koji se naziva Shadow Volume Copy. On se koristi za bekapovanje softvera i raznih fajlova i može biti koristan za vraćanje obrisanih i/ili modifikovanih fajlova.
Kada se uradi bekap pomoću VSS-a, čuva se samo izmenjeni deo u tim fajlovima (na primer, ako je veličina fajla 3 megabajta, a napravi se promena od 20 kilobajta, VSS bekapuje samo 20 kilobajta). To znači da je moguće čuvati veći broj verzija istog fajla bez zauzimanja velikog prostora na disku.
Najpre ćemo vam pokazati kako da podesite da se Volume Shadow Copy servis automatski pokreće pri startupu sistema. Zatim ćemo vam pokazati dve metode pomoću kojih možete vratiti fajlove iz Volume Shadow Copy. Prvi metod je preko opcije “Previous Versions“. Drugi metod je pomoću ShadowExplorer alata.
Kako podesiti da se Volume Shadow Copy servis automatski pokreće pri pokretanju sistema u Windows 10?
Da biste uključili opciju Volume Shadow Copy u Windows 10, potrebno je da uradite sledeće.
Desnim klikom na Taskbar otvorite Task Manager:
Zatim u kartici Services kliknite na Open Services:
Potražite na listi Volume Shadow Copy, desni klik i otvorite Properties:
Podesite Startup type na Automatic:
Pritisnite Start i OK:
Kako vratiti fajlove pomoću opcije “Previous Versions“?
Opcija “Previous Versions“ omogućava da vratite kopije određenog fajla iz prethodnog perioda putem Shadow Volume Copy snapshots (snimaka). Ovaj metod je primenjiv samo za vraćanje pojedinačnih fajlova, a kasnije ide i deo o tome kako vratiti cele foldere.
Kako biste vratili pojedinačni fajl, otvorite folder koji sadrži fajl koji želite da vratite:
Desni klik na željeni fajl i izaberite Properties:
Zatim kliknite na karticu Previous Versions. Tu će vam se prikazati sve prethodno sačuvane verzije datog fajla u Shadow kopijama, a uz njih stoji datum i vreme bekapovanja.
Možete kliknuti ili na opciju Restore ili odabrati opciju kopiranja desnim klikom na željenu verziju. Kopiranje je jasna opcija (kopirate fajl u željeni folder), dok će odabirom opcije Restore trenutna verzija fajla biti izbrisana i zamenjena onom koju ste odabrali.
Možda je najbolje da napravite poseban folder u koji ćete najpre kopirati fajl kako biste bili sigurni da je to ona verzija koju ste želeli da vratite.
Kako vratiti foldere pomoću opcije “Previous Versions“?
Procedura je slična kao kod vraćanja pojedinačnih fajlova, uz određene razlike. Otvorite folder koji sadrži fajlove koje želite da vratite, desni klik na prazan prostor i odaberite Properties.
Zatim odaberite karticu Previous Versions, kao i u prethodnom slučaju. Tu će vam se prikazati sve prethodno sačuvane verzije datog foldera u Shadow kopijama, a uz njih stoji datum i vreme bekapovanja.
Isto kao i u slučaju vraćanja fajlova, možete kliknuti na opciju Restore (briše i zamenjuje folder verzijom koju ste odabrali) ili odabrati opciju kopiranja (desni klik na željenu verziju foldera, a zatim ga pejstujete na odabranu lokaciju).
Kako vratiti fajlove i foldere iz Shadow Volume Copies pomoću ShadowExplorer aplikacije?
Fajlove i foldere koji se čuvaju u Shadow Volume Copies možete da vratite i pomoću ShadowExplorer aplikacije. ShadowExplorer je jednostavan za upotrebu. Na raspolaganju imate verziju aplikacije koja se instalira i portable verziju (obe su prihvatljive).
Kada pokrenete aplikaciju, prikazaće vam se lista svih particija sa folderima i fajlovima za koje postoje Shadow kopije (uz datum kada su napravljene). Izaberite particiju sa koje želite da vratite fajlove i foldere (zelena strelica) i željeni datum, odnosno tačno vreme (crvena strelica).
Zatim izaberite folder ili fajl koji želite da vratite (desni klik na folder ili fajl pa odaberite Export).
Kada kliknete na Export, otvoriće se prozor i treba da odaberete gde ćete poslati izabrani fajl ili folder.
Volume Shadow Copies i Ransomware
Shadow Copy u nekim slučajevima može da vam pomogne da vratite fajlove koje je zaključao ransomware.
Međutim, ransomware najčešće pokušava da obriše Volume Shadow Copies, pored toga što zaključava fajlove žrtve. Razlog je jasan – hakeri ne žele da žrtvi ostave na raspolaganju jednostavan način za vraćanje fajlova.
Ransomware najčešće koristi sledeću komandu prilikom pokušaja brisanja Shadow kopija: C:\Windows\Sysnative\vssadmin.exe" Delete Shadows /All /Quiet
Ako ste imali tu nesreću da se zarazite ransomwareom, preporučujemo vam da pogledate našu Ransomware best practice listu i saznate kakve su vaše opcije za vraćanje fajlova.