我正在使用的一台电脑上的大部分文件都被 TeslaCrypt 勒索软件程序加密了。我发现它并没有删除卷影副本,而且可能还有一些备份可用。
我尝试使用和安装感染之前的几个卷影副本vssadmin list shadows
,并且mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\
能够看到我们想要恢复的大多数文件。
问题是我查看的大多数文件部分包含正确的数据,但\x00
在文件末尾或中间有大量的零块()。
这些文件都是原始大小,只是缺少大块。这些缺失的文件部分是否丢失了,或者这些影子副本是否存在问题?
系统:Windows 8.1 64位。
编辑:
这可能是因为 Windows 8 正在逐步淘汰卷影复制,而改用块级备份?
答案1
Microsoft 专业支持已确认此问题(Microsoft 之前未知此问题)。没有解决方法,但将来很可能会发布公开修补程序(目前尚无时间表)。