Um computador em que estou trabalhando tinha a maioria dos arquivos criptografados pelo programa ransomware TeslaCrypt. Descobri que ele não excluiu as cópias de sombra e pode haver vários backups disponíveis.
Tentei montar várias cópias de sombra antes da infecção vssadmin list shadowse mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\consegui ver a maioria dos arquivos que estamos interessados em recuperar.
O problema é que a maioria dos arquivos que vejo contêm parcialmente os dados corretos, mas têm grandes blocos de zeros ( \x00) no final ou no meio dos arquivos.
Os arquivos têm todos os tamanhos originais, exceto que faltam pedaços grandes. Essas partes faltantes dos arquivos foram perdidas ou há algum problema com essas cópias de sombra?
Sistema: Windows 8.1 64 bits.
EDITAR:
Talvez isso esteja acontecendo porque o Windows 8 está descontinuando a cópia de sombra de volume e, em vez disso, usando backup em nível de bloco?
Responder1
O Suporte Profissional da Microsoft confirmou o problema (anteriormente desconhecido pela Microsoft). Não há soluções alternativas, mas muito provavelmente haverá um hotfix público no futuro (atualmente não há cronograma).