WannaCry 勒索站群软件中毒后的计算机档案会被加密,但是通过测试发现,加密站群软件先加密档案然后再删除原档案。
所以我们可以尝试使用硬碟恢复工具,恢复部分档案,因为在电脑的安全模式下 Wannacry 并没有执行。中毒后如果想恢复部分档案,千万不要进行写入操作。
在一台 Windows7 电脑的 D 盘,有几个重要的档案。 txt,excel,docx 。
病毒执行的几秒钟的时间内,加密档案和原档案是并存的。
等待 Wannacry 完全启动后,原档案会被删除。
电脑中毒。
重启电脑,按 F8 进入电脑的安全模式。
进入安全模式后,启动硬碟恢复工具进行档案恢复。(在安全模式下,发现 Wannacry 并没有启动)
选择档案型别
因为恢复的是档案所以选择文件累恢复。
等待扫描完成。
发现被 Wannacry 加密的原档案。
把档案恢复出来
这里恢复到 c 盘(如果有行动硬碟,可以把档案复制到一个空的行动硬碟)
档案还原完毕
原档案被还原。
这种恢复模式取决于电脑回收站的大小,如果大量档案被加密删除,那么该种办法只能恢复部分档案。