我正在使用的一台電腦上的大部分檔案都被 TeslaCrypt 勒索軟體程式加密。我發現它沒有刪除卷影副本,並且可能有許多備份可用。
vssadmin list shadows我嘗試在感染之前使用and掛載多個卷影副本,mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\並且能夠看到我們有興趣恢復的大部分文件。
問題是我查看的大多數文件部分包含正確的數據,但\x00在文件的末尾或中間都有大塊的零 ( )。
這些文件都是原始大小,只是缺少大塊。文件的那些缺失部分是否遺失或這些影卷副本是否有問題?
系統:Windows 8.1 64位元。
編輯:
也許發生這種情況是因為 Windows 8 正在逐步淘汰卷影複製,轉而使用區塊級備份?
答案1
Microsoft 專業支援確認了該問題(Microsoft 之前未知)。沒有解決方法,但將來很可能會出現公共修補程式(目前沒有時間表)。