วิธีผมอาจจะโหดหน่อยนะครับ แต่ถ้าได้ผลก็ถือว่าโชคดีไป มันเป็นไม้ตายก้นหีบฆ่าตัวตายแล้วเกิดใหม่ซะ (ใช้ในกรณีที่ทำ systemrestore ไม่ได้)
กรณีที่ 1 ถ้ามีฮาร์ดดิสก์สองตัว
1. ย้ายหรือก็อปไฟล์ที่ติดไวรัสทั้งหมดมาไว้ลูกใดลูกหนึ่งก่อน
2. ลง windows ใหม่บนลูกที่ไม่ใช่ตัว backup ด้วยวิธีนี้ครับ
2.1 ลบ partition ทั้งหมดออกแล้วแบ่งใหม่
2.2 ถ้าทำข้อ 2.1 ไม่เป็นให้ใช้วิธี format drive ที่จะลง windows ก่อนลง
3. ลองเปิดไฟล์ดูว่าได้หรือไม่ (ลองแบบไม่ต่อเน็ตดูนะครับ เพราะบางทีไวรัสอาจจะทำงานโดยผ่านเน็ต)
กรณีที่ 2 มีฮาร์ดดิสก์ตัวเดียว
1. หาเครื่องร่วมชะตากรรมก่อนให้ได้แล้วเอาฮาร์ดดิกส์ไปต่อดูว่าเปิดไฟล์พวกนี้ได้หรือไม่ (อย่าเพิ่งต่อเน็ตนะครับ)
2. ถ้าสามารถ backup ข้อมูลได้ก็ทำเลยครับ
3. ถ้ามันเลวร้ายจริง ๆ ทำอะไรไม่ได้ก็ให้ format drive เลยครับแต่ห้ามลบ partition
4. ใช้โปรแกรม Recuva กู้ข้อมูลคืน ตัวนี้มันกู้ได้สมบูรณ์เกือบ 100% ครับ แล้วเลือกเอาว่าจะกู้ไฟล์ไหนบ้าง
แต่กรณีนี้ดู ๆ แล้ววิเคราะห์ได้ตามนี้ครับ
1. ไวรัสไม่น่าจะใช้วิธีเข้ารหัสไฟล์แต่น่าจะทำงานแบบล็อคคำสั่ง open ทุกอย่างของระบบเพื่อไม่ให้สามารถเปิดไฟล์ได้ แล้วอ้างว่าถูกเข้ารหัสแล้ว เพราะการเข้ารหัสไฟล์นั้นไม่ใช่เรื่องที่สามารถทำได้ในเวลาอันสั้น ยิ่งเครื่องสเปคทั่วไปก็ใช้เวลานานกว่าจะเข้ารหัสไฟล์เป้าหมายได้ทั้งหมด
2. ที่ไม่ให้ต่อเน็ตตอนที่เช็คไฟล์ก็เพราะมันอาจจะแอบเปิด back door หรือ port ไว้หลังบ้านให้แฮกเกอร์มาเดินเล่นก็ได้ รวมถึงลดความเสี่ยงในการติดไวรัสด้วยครับ
3. การแบ่ง partition แนะนำให้เป็นวิธีสุดท้ายนะครับ เพราะการแบ่ง partition ใหม่จะเป็นการทำลายข้อมูลในระดับหนึ่งรวมถึงไวรัสเวลากู้ข้อมูลกลับมาโอกาสสำเร็จจะน้อยลงไปด้วย
4. วิธีการใช้โปรแกรม Recuva ให้ได้ผลสูงสุดก็คือ format drive ที่ต้องการกู้ข้อมูลแล้วทำการกู้ข้อมูลทันที อย่าให้มีการเขียนไฟล์เกิดขึ้นเพราะจะมีผลในเรื่องของเซคชั่นฮาร์ดดิกส์อาจไปทับกับไฟล์ที่ต้องการกู้ โอกาสและความสมบูรณ์ก็จะน้อยตามไปด้วยครับ
ที่บอกมาคือวิธีที่ผมโดนประจำ เพราะงานของผมคือทำเครื่องให้พังด้วยโปรแกรมหรือไวรัสแล้วจัดการให้มันกลับมาดีเหมือนเดิมครับ
ความรู้ทั่วไป
