Auf einem Computer, an dem ich arbeite, waren die meisten Dateien mit dem Erpresserprogramm TeslaCrypt verschlüsselt. Ich habe festgestellt, dass die Schattenkopien nicht gelöscht wurden und möglicherweise mehrere Backups verfügbar sind.
Ich habe vor der Infektion versucht, mehrere Schattenkopien zu mounten vssadmin list shadowsund mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\kann die meisten Dateien sehen, die wir wiederherstellen möchten.
Das Problem besteht darin, dass die meisten Dateien, die ich mir ansehe, zwar teilweise die richtigen Daten enthalten, aber \x00entweder am Ende oder in der Mitte große Blöcke aus Nullen () aufweisen.
Die Dateien haben alle die Originalgröße, außer dass große Teile fehlen. Sind diese fehlenden Teile der Dateien verloren gegangen oder gibt es ein Problem mit diesen Schattenkopien?
System: Windows 8.1 64-Bit.
BEARBEITEN:
Vielleicht liegt das daran, dass Windows 8 die Volumeschattenkopie auslaufen lässt und stattdessen die Sicherung auf Blockebene verwendet?
Antwort1
Der professionelle Support von Microsoft hat das Problem bestätigt (Microsoft war davon bisher nichts bekannt). Es gibt keine Workarounds, aber es wird in Zukunft höchstwahrscheinlich einen öffentlichen Hotfix geben (derzeit gibt es keinen Zeitplan).