我正在使用的计算机上的大多数文件都由TeslaCrypt勒索软件程序加密。我发现它没有删除卷影副本,并且可能有许多备份可用。
我尝试使用vssadmin list shadows和挂载多个卷影副本,然后再进行感染,mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\并且能够看到我们有兴趣恢复的大多数文件。
问题是我查看的大多数文件都包含正确的数据,但是\x00在文件的末尾或中间有大块零()。
这些文件是所有原始大小,但缺少大块。这些丢失的文件部分丢失了吗?这些卷影副本是否存在问题?
系统:Windows 8.1 64位。
编辑:
可能是因为Windows 8逐步淘汰了卷影副本而使用了块级备份而发生了?
我最近遇到了类似的问题。在发现此问题前几分钟,我就将问题发布到了MS社区。只是交叉引用:answers.microsoft.com/en-us/windows/forum/windows8_1-files/...
—
唐Zoomik
@DonZoomik很高兴您找到了这个,谢谢您的评论。我只是在MS帖子上回复,希望有人对此有所了解。当然对将来的某人有用。不幸的是,对于我之前尝试恢复的文件的人,我无能为力,因为没有关于此问题的相关信息。
—
drew010
我说服我的老板提供了公司信用卡,并且刚刚发起了一次Microsoft专业支持事件,让我们看看会发生什么...。同时,我还在TechNet论坛上问了同样的问题(也许会有更多能干的眼睛...),但是没有有用的回复。social.technet.microsoft.com/Forums/en-US/...
—
唐Zoomik
@DonZoomik祝您好运,希望他们能帮助您解决这一问题。期待听到结果。
—
drew010