卷影副本恢复的文件包含大量 NULL 块

卷影副本恢复的文件包含大量 NULL 块

我正在使用的一台电脑上的大部分文件都被 TeslaCrypt 勒索软件程序加密了。我发现它并没有删除卷影副本,而且可能还有一些备份可用。

我尝试使用和安装感染之前的几个卷影副本vssadmin list shadows,并且mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\能够看到我们想要恢复的大多数文件。

问题是我查看的大多数文件部分包含正确的数据,但\x00在文件末尾或中间有大量的零块()。

这些文件都是原始大小,只是缺少大块。这些缺失的文件部分是否丢失了,或者这些影子副本是否存在问题?

系统:Windows 8.1 64位。

编辑:

这可能是因为 Windows 8 正在逐步淘汰卷影复制,而改用块级备份?

答案1

Microsoft 专业支持已确认此问题(Microsoft 之前未知此问题)。没有解决方法,但将来很可能会发布公开修补程序(目前尚无时间表)。

相关内容