軟件說明
5月12日晚間,一款名為WannaCRY“永恒之藍”的惡意勒索軟件在全球肆虐,受害電腦被黑客“劫持”,大量文件被加密鎖定,并索要高額比特幣贖金。截至14日下午,該軟件已經在全球范圍內感染了包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等100多個國家和地區超過數十萬臺電腦。各國政府和公共網絡系統,眾多學校、醫院、企業都受到侵害,我國許多高校校園網和多家能源企業、政府機構也中招,多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊,對重要數據造成嚴重損失。其中在WannaCry病毒爆發后,美亞柏科計算機取證研發團隊連夜根據該病毒的特性,進行了針對性的研究,14日下午研發取得重大【突破】。現美亞柏科【恢復大師】、【取證大師】特別版本推出,該版本支持對感染WannaCry 病毒的計算機進行數據恢復,符合特定環境下的計算機可實現大部分甚至全部數據恢復。
軟件預覽
軟件特色
一、通過文件系統刪除恢復原理恢復
WannaCry病毒刪除原文件與普通的文件刪除過程情形一致,可以通過文件系統的刪除恢復原理對數據嘗試恢復。 這也是目前國內有部分安全廠商提供的工具的運行方法。但是此方式的局限性在于必需確保原文件刪除后未被新的數據覆蓋,如果后續文件讀寫操作操作比較多,則可能造成數據恢復失敗。數據恢復可能性不穩定。
二、通過卷影副本數據進行恢復
在數據被覆蓋無法通過常規方式進行恢復的情況下,我們依然可以嘗試使用另一個方式——卷影副本服務。
卷影副本服務是Windows系統默認開啟的文件備份服務。該服務在W XP/2003開始引入,windows 2003 Server/Vista 得到加強,并在Windows 7/8/8.1/10所有版本默認開啟的,可以在一定條件下保存文件的歷史版本數據。
根據網上的資料,WannaCry病毒在運行后除了加密特定類型文件,還會清除系統中的卷影副本數據。但通過我們研發人員的實際測試,在部分版本(主要是64位)的系統中,卷影副本并未被清除。如果被感染的計算機還存在卷影副本數據,通過一定的方式讀取并導出文件的歷史版本,即可“恢復”出相關數據,若計算機在被感染前一天有開機系統默認備份過,更有可能實現100%數據恢復。
您的評論需要經過審核才能顯示
有用
有用
有用