Una computadora en la que estoy trabajando tenía la mayoría de los archivos cifrados por el programa ransomware TeslaCrypt. Descubrí que no eliminó las instantáneas y es posible que haya varias copias de seguridad disponibles.
Intenté montar varias de las instantáneas antes de la infección usando vssadmin list shadowsy mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\puedo ver la mayoría de los archivos que estamos interesados en recuperar.
El problema es que la mayoría de los archivos que miro contienen parcialmente los datos correctos pero tienen grandes bloques de ceros ( \x00) al final o en el medio de los archivos.
Todos los archivos tienen el tamaño original, excepto que les faltan fragmentos grandes. ¿Se pierden esas partes faltantes de los archivos o hay algún problema con estas instantáneas?
Sistema: Windows 8.1 de 64 bits.
EDITAR:
¿Quizás esto esté sucediendo porque Windows 8 está eliminando gradualmente las instantáneas de volumen y en su lugar utiliza la copia de seguridad a nivel de bloque?
Respuesta1
El soporte profesional de Microsoft confirmó el problema (anteriormente desconocido por Microsoft). No hay soluciones alternativas, pero es muy probable que haya una revisión pública en el futuro (actualmente no hay un cronograma).