軟件說明
5月12日晚間,一款名為WannaCRY“永恒之藍(lán)”的惡意勒索軟件在全球肆虐,受害電腦被黑客“劫持”,大量文件被加密鎖定,并索要高額比特幣贖金。截至14日下午,該軟件已經(jīng)在全球范圍內(nèi)感染了包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等100多個國家和地區(qū)超過數(shù)十萬臺電腦。各國政府和公共網(wǎng)絡(luò)系統(tǒng),眾多學(xué)校、醫(yī)院、企業(yè)都受到侵害,我國許多高校校園網(wǎng)和多家能源企業(yè)、政府機(jī)構(gòu)也中招,多地的出入境、派出所等公安網(wǎng)也疑似遭遇了病毒襲擊,對重要數(shù)據(jù)造成嚴(yán)重?fù)p失。其中在WannaCry病毒爆發(fā)后,美亞柏科計算機(jī)取證研發(fā)團(tuán)隊(duì)連夜根據(jù)該病毒的特性,進(jìn)行了針對性的研究,14日下午研發(fā)取得重大【突破】。現(xiàn)美亞柏科【恢復(fù)大師】、【取證大師】特別版本推出,該版本支持對感染W(wǎng)annaCry 病毒的計算機(jī)進(jìn)行數(shù)據(jù)恢復(fù),符合特定環(huán)境下的計算機(jī)可實(shí)現(xiàn)大部分甚至全部數(shù)據(jù)恢復(fù)。
軟件預(yù)覽
軟件特色
一、通過文件系統(tǒng)刪除恢復(fù)原理恢復(fù)
WannaCry病毒刪除原文件與普通的文件刪除過程情形一致,可以通過文件系統(tǒng)的刪除恢復(fù)原理對數(shù)據(jù)嘗試恢復(fù)。 這也是目前國內(nèi)有部分安全廠商提供的工具的運(yùn)行方法。但是此方式的局限性在于必需確保原文件刪除后未被新的數(shù)據(jù)覆蓋,如果后續(xù)文件讀寫操作操作比較多,則可能造成數(shù)據(jù)恢復(fù)失敗。數(shù)據(jù)恢復(fù)可能性不穩(wěn)定。
二、通過卷影副本數(shù)據(jù)進(jìn)行恢復(fù)
在數(shù)據(jù)被覆蓋無法通過常規(guī)方式進(jìn)行恢復(fù)的情況下,我們依然可以嘗試使用另一個方式——卷影副本服務(wù)。
卷影副本服務(wù)是Windows系統(tǒng)默認(rèn)開啟的文件備份服務(wù)。該服務(wù)在W XP/2003開始引入,windows 2003 Server/Vista 得到加強(qiáng),并在Windows 7/8/8.1/10所有版本默認(rèn)開啟的,可以在一定條件下保存文件的歷史版本數(shù)據(jù)。
根據(jù)網(wǎng)上的資料,WannaCry病毒在運(yùn)行后除了加密特定類型文件,還會清除系統(tǒng)中的卷影副本數(shù)據(jù)。但通過我們研發(fā)人員的實(shí)際測試,在部分版本(主要是64位)的系統(tǒng)中,卷影副本并未被清除。如果被感染的計算機(jī)還存在卷影副本數(shù)據(jù),通過一定的方式讀取并導(dǎo)出文件的歷史版本,即可“恢復(fù)”出相關(guān)數(shù)據(jù),若計算機(jī)在被感染前一天有開機(jī)系統(tǒng)默認(rèn)備份過,更有可能實(shí)現(xiàn)100%數(shù)據(jù)恢復(fù)。
您的評論需要經(jīng)過審核才能顯示
有用
有用
有用