คอมพิวเตอร์ที่ฉันใช้งานมีไฟล์ส่วนใหญ่เข้ารหัสโดยโปรแกรม TeslaCrypt ransomware ฉันพบว่ามันไม่ได้ลบ shadow copy และอาจมีการสำรองข้อมูลจำนวนมาก
ฉันพยายามติดตั้งหลายสำเนาเงาก่อนที่จะมีการติดเชื้อโดยใช้vssadmin list shadowsและmklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\และฉันสามารถที่จะเห็นส่วนใหญ่ของไฟล์ที่เรามีความสนใจในการกู้คืน
ปัญหาคือไฟล์ส่วนใหญ่ที่ฉันดูบางส่วนมีข้อมูลที่ถูกต้อง แต่มีบล็อกเป็นศูนย์ขนาดใหญ่ ( \x00) ที่ส่วนท้ายหรือตรงกลางของไฟล์
ไฟล์มีขนาดดั้งเดิมทั้งหมดยกเว้นไฟล์ขนาดใหญ่ที่ขาดหายไป บางส่วนของไฟล์ที่หายไปนั้นหายไปหรือมีปัญหากับ shadow copy เหล่านี้บ้างไหม?
ระบบ: Windows 8.1 64- บิต
แก้ไข:
อาจเกิดขึ้นเพราะ Windows 8 กำลังยกเลิกการคัดลอกเงาของไดรฟ์ข้อมูลและใช้การสำรองข้อมูลระดับบล็อกแทน
ฉันเพิ่งพบปัญหาที่คล้ายกัน ฉันโพสต์ปัญหาของฉันไปยังชุมชน MS เพียงไม่กี่นาทีก่อนที่จะค้นพบคำถามนี้ เพียงสำหรับการอ้างอิงข้าม: answers.microsoft.com/en-us/windows/forum/windows8_1-files/...
—
ดอน Zoomik
@ DonZoomik ดีใจที่คุณพบสิ่งนี้ขอบคุณสำหรับความคิดเห็น ฉันเพิ่งตอบกลับในโพสต์ MS และหวังว่าบางคนมีข้อมูลบางอย่างเกี่ยวกับเรื่องนี้ แน่นอนว่าจะเป็นประโยชน์กับใครบางคนในอนาคต น่าเสียดายที่ไม่มีสิ่งใดที่ฉันสามารถทำได้สำหรับคนที่เป็นไฟล์ที่ฉันพยายามกู้คืนมาก่อนเนื่องจากไม่มีข้อมูลที่เกี่ยวข้องกับปัญหา
—
drew010
ฉันได้พูดคุยกับหัวหน้าของฉันในการจัดหาบัตรเครดิต compiany และเพิ่งสร้างเหตุการณ์ Microsoft Professional Support ลองมาดูว่าเกิดอะไรขึ้น ... ในระหว่างนี้ฉันก็ถามคำถามเดียวกันกับฟอรัม TechNet (อาจจะมีตาที่เก่งกว่า ... ) ไม่มีคำตอบที่เป็นประโยชน์ social.technet.microsoft.com/Forums/en-US/…
—
Don Zoomik
@ DonZoomik โชคดีหวังว่าพวกเขาจะช่วยให้คิดออก รอคอยที่จะได้ยินผลลัพธ์
—
drew010