手動還原已識別的檔案

檢視次數:

使用 QDecrypt 工具手動還原已下載的檔案。

警告

恢復中毒檔案可能會將病毒/惡意程式散佈到其他檔案與電腦防護。在恢復檔案前，請先隔離中毒端點，並將此端點上的重要檔案移至備份位置。

重要

QDecrypt 解密工具僅支援 Windows。

要手動還原已識別的檔案，您可以從Server & Workload Protection下載檔案和解密工具QDecrypt到您的本機。如果您不希望惡意程式防護掃瞄再次偵測到該檔案，請務必先建立掃瞄例外。請按照以下步驟建立排除項目、下載檔案和工具，並在您的本機上還原已識別的檔案。

步驟

在 Trend Vision One console 中，訪問管理中毒端點的 Server & Workload Protection 實例。
前往「Computers」，然後開啟受影響電腦防護的詳細資訊。
移至「惡意程式防護」 → 「Identified Files」
找到您想要還原的檔案，然後點擊「檢視」以開啟「詳細資訊」視窗。

使用篩選器或進階搜尋來找到您想要還原的檔案。
複製檔案名稱及原始位置。
移至「惡意程式防護」 → 「一般」
編輯每個掃瞄類型的「Malware Scan Configuration」。

對「即時掃瞄」、「手動掃瞄」和「預約掃瞄」重複這些步驟。
1. 在您想要配置的掃瞄類型下，找到「Malware Scan Configuration」並點擊「編輯」。
2. 移至「例外」標籤。
3. 啟用「File List」並選擇要編輯的清單。
  
  注意
  
  如果尚未存在清單，請從檔案清單中選擇「New...」。
4. 若要編輯檔案清單，請點擊「編輯」。
5. 在「File(s)」欄位中，指定您想要還原的檔案的原始完整檔案路徑。
  
  完整的檔案路徑包括根磁碟、所有資料夾名稱、檔案名稱和檔案副檔名。例如：
  
  C:\Documents\example.doc
6. 按一下「確定」以關閉檔案清單。
7. 請點選「確定」以關閉惡意程式掃瞄設定。
一旦您配置了所有掃瞄類型，點擊「儲存」以將例外應用於端點。
在電腦防護詳細資訊畫面仍然開啟的情況下，前往「惡意程式防護」 → 「Identified Files」。
選擇您想要還原的檔案，然後點擊 「下載」。
在下載指南中，點擊「下一步」。

Server & Workload Protection 正在準備下載。下載完成後，「摘要」 會出現。
要下載解密工具，請點擊「administration utility」。

您的電腦防護應自動下載 QFAdminUtil.zip。
找到下載套件並解壓縮 QFAdminUtil.zip。
執行 QDecrypt。
1. 要使用圖形介面，請執行 QDecrypt.exe。
  
  請按照步驟選擇目標已加密檔案及解密檔案的儲存位置。
2. 要使用命令列介面，請使用以下指令執行 QDecrypt.com：
  qdecrypt [/h] [--verbose] /i <str> /o <str>
  
  說明：
  - /h 或 --help 顯示說明訊息
  - --verbose 產生詳細的日誌訊息
  - /i <str> 或 --in=<str> 指定輸入的已加密檔案，其中 <str> 是檔案名稱
  - /o <str> 或 --out=<str> 指定輸出未加密檔案，其中 <str> 是檔案名稱
  如果您使用命令列介面，為了方便使用，請將已加密的檔案移動到與 QDecrypt 工具相同的位置資訊。
QDecrypt 工具會生成一個解密後的檔案。

警告

重要

步驟

注意