软件说明
5月12日晚间,一款名为WannaCRY“永恒之蓝”的恶意勒索软件在全球肆虐,受害电脑被黑客“劫持”,大量文件被加密锁定,并索要高额比特币赎金。截至14日下午,该软件已经在全球范围内感染了包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等100多个国家和地区超过数十万台电脑。各国政府和公共网络系统,众多学校、医院、企业都受到侵害,我国许多高校校园网和多家能源企业、政府机构也中招,多地的出入境、派出所等公安网也疑似遭遇了病毒袭击,对重要数据造成严重损失。其中在WannaCry病毒爆发后,美亚柏科计算机取证研发团队连夜根据该病毒的特性,进行了针对性的研究,14日下午研发取得重大【突破】。现美亚柏科【恢复大师】、【取证大师】特别版本推出,该版本支持对感染WannaCry 病毒的计算机进行数据恢复,符合特定环境下的计算机可实现大部分甚至全部数据恢复。
软件预览
软件特色
一、通过文件系统删除恢复原理恢复
WannaCry病毒删除原文件与普通的文件删除过程情形一致,可以通过文件系统的删除恢复原理对数据尝试恢复。 这也是目前国内有部分安全厂商提供的工具的运行方法。但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖,如果后续文件读写操作操作比较多,则可能造成数据恢复失败。数据恢复可能性不稳定。
二、通过卷影副本数据进行恢复
在数据被覆盖无法通过常规方式进行恢复的情况下,我们依然可以尝试使用另一个方式——卷影副本服务。
卷影副本服务是Windows系统默认开启的文件备份服务。该服务在W XP/2003开始引入,windows 2003 Server/Vista 得到加强,并在Windows 7/8/8.1/10所有版本默认开启的,可以在一定条件下保存文件的历史版本数据。
根据网上的资料,WannaCry病毒在运行后除了加密特定类型文件,还会清除系统中的卷影副本数据。但通过我们研发人员的实际测试,在部分版本(主要是64位)的系统中,卷影副本并未被清除。如果被感染的计算机还存在卷影副本数据,通过一定的方式读取并导出文件的历史版本,即可“恢复”出相关数据,若计算机在被感染前一天有开机系统默认备份过,更有可能实现100%数据恢复。
有用
有用
有用