На компьютере, на котором я работаю, большинство файлов были зашифрованы программой-вымогателем TeslaCrypt. Я обнаружил, что она не удалила теневые копии, и, возможно, есть несколько доступных резервных копий.
Я попробовал смонтировать несколько теневых копий до заражения vssadmin list shadowsи mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\смог увидеть большинство файлов, которые мы хотели бы восстановить.
Проблема в том, что большинство файлов, которые я просматриваю, частично содержат правильные данные, но имеют большие блоки нулей ( \x00) либо в конце, либо в середине файлов.
Файлы все имеют оригинальный размер, за исключением того, что в них отсутствуют большие фрагменты. Эти отсутствующие части файлов потеряны или есть какая-то проблема с этими теневыми копиями?
Система: Windows 8.1 64-бит.
РЕДАКТИРОВАТЬ:
Может быть, это происходит из-за того, что Windows 8 постепенно отказывается от теневого копирования томов и вместо этого использует резервное копирование на уровне блоков?
решение1
Microsoft Professional Support подтвердила наличие проблемы (ранее неизвестной Microsoft). Обходных путей нет, но, скорее всего, в будущем появится общедоступное исправление (на данный момент сроки неизвестны).