제가 작업 중인 컴퓨터에는 TeslaCrypt 랜섬웨어 프로그램에 의해 대부분의 파일이 암호화되어 있었습니다. 쉐도우 복사본은 삭제되지 않았으며 사용 가능한 백업이 많이 있을 수 있다는 것을 알았습니다.
감염되기 전에 를 사용하여 여러 섀도 복사본을 마운트하려고 시도했으며 vssadmin list shadows복구 mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\에 관심이 있는 대부분의 파일을 볼 수 있습니다.
\x00문제는 내가 본 대부분의 파일이 부분적으로 올바른 데이터를 포함하고 있지만 파일의 끝이나 중간에 큰 0 블록( )이 있다는 것입니다 .
파일은 큰 덩어리가 누락된 것을 제외하고는 모두 원본 크기입니다. 파일의 누락된 부분이 손실되었습니까? 아니면 이러한 섀도 복사본에 문제가 있습니까?
시스템: Windows 8.1 64비트.
편집하다:
Windows 8에서 볼륨 섀도 복사본을 단계적으로 폐지하고 대신 블록 수준 백업을 사용하기 때문에 이런 일이 발생하는 것일까요?
답변1
Microsoft 전문 지원팀에서 이 문제(이전에는 Microsoft에서 알려지지 않은 문제)를 확인했습니다. 해결 방법은 없지만 향후 공개 핫픽스가 있을 가능성이 높습니다(현재 일정은 없습니다).