私が作業しているコンピューターのほとんどのファイルは、TeslaCrypt ランサムウェア プログラムによって暗号化されていました。シャドウ コピーは削除されておらず、利用可能なバックアップがいくつかある可能性があることがわかりました。
感染前に、を使用していくつかのシャドウ コピーをマウントしてみましたvssadmin list shadows
が、mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\
回復したいファイルのほとんどを確認することができました。
問題は、私が調べたファイルのほとんどに部分的に正しいデータが含まれているものの、\x00
ファイルの最後または途中に大きなゼロのブロック ( ) があることです。
ファイルはすべて元のサイズですが、大きな部分が欠落しています。ファイルの欠落部分は失われているのでしょうか、それともこれらのシャドウ コピーに何らかの問題があるのでしょうか。
システム: Windows 8.1 64 ビット。
編集:
これは、Windows 8 がボリューム シャドウ コピーを段階的に廃止し、代わりにブロック レベルのバックアップを使用しているために発生している可能性があります。
答え1
Microsoft プロフェッショナル サポートがこの問題を確認しました (Microsoft ではこれまで認識されていませんでした)。回避策はありませんが、将来的には公開修正プログラムがリリースされる可能性が非常に高くなります (現時点ではタイムラインはありません)。