美亞恢復(fù)大師永恒之藍(lán)是一款專門修復(fù)永恒之藍(lán)比特幣勒索病毒的系統(tǒng)恢復(fù)工具,你還在為你電腦遭遇永恒之藍(lán)比特幣勒索病毒而犯愁嗎!現(xiàn)在就開(kāi)始下載使用,即可輕松修復(fù)該病毒喲!
軟件說(shuō)明:
5月12日晚間,一款名為WannaCRY“永恒之藍(lán)”的惡意勒索軟件在全球肆虐,受害電腦被黑客“劫持”,大量文件被加密鎖定,并索要高額比特幣贖金。截至14日下午,該軟件已經(jīng)在全球范圍內(nèi)感染了包括美國(guó)、英國(guó)、中國(guó)、俄羅斯、西班牙、意大利、越南等100多個(gè)國(guó)家和地區(qū)超過(guò)數(shù)十萬(wàn)臺(tái)電腦。各國(guó)政府和公共網(wǎng)絡(luò)系統(tǒng),眾多學(xué)校、醫(yī)院、企業(yè)都受到侵害,我國(guó)許多高校校園網(wǎng)和多家能源企業(yè)、政府機(jī)構(gòu)也中招,多地的出入境、派出所等公安網(wǎng)也疑似遭遇了病毒襲擊,對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。其中在WannaCry病毒爆發(fā)后,美亞柏科計(jì)算機(jī)取證研發(fā)團(tuán)隊(duì)連夜根據(jù)該病毒的特性,進(jìn)行了針對(duì)性的研究,14日下午研發(fā)取得重大【突破】,F(xiàn)美亞柏科【恢復(fù)大師】、【取證大師】特別版本推出,該版本支持對(duì)感染W(wǎng)annaCry 病毒的計(jì)算機(jī)進(jìn)行數(shù)據(jù)恢復(fù),符合特定環(huán)境下的計(jì)算機(jī)可實(shí)現(xiàn)大部分甚至全部數(shù)據(jù)恢復(fù)。
軟件特色:
一、通過(guò)文件系統(tǒng)刪除恢復(fù)原理恢復(fù)
WannaCry病毒刪除原文件與普通的文件刪除過(guò)程情形一致,可以通過(guò)文件系統(tǒng)的刪除恢復(fù)原理對(duì)數(shù)據(jù)嘗試恢復(fù)。 這也是目前國(guó)內(nèi)有部分安全廠商提供的工具的運(yùn)行方法。但是此方式的局限性在于必需確保原文件刪除后未被新的數(shù)據(jù)覆蓋,如果后續(xù)文件讀寫操作操作比較多,則可能造成數(shù)據(jù)恢復(fù)失敗。數(shù)據(jù)恢復(fù)可能性不穩(wěn)定。
二、通過(guò)卷影副本數(shù)據(jù)進(jìn)行恢復(fù)
在數(shù)據(jù)被覆蓋無(wú)法通過(guò)常規(guī)方式進(jìn)行恢復(fù)的情況下,我們依然可以嘗試使用另一個(gè)方式——卷影副本服務(wù)。
卷影副本服務(wù)是Windows系統(tǒng)默認(rèn)開(kāi)啟的文件備份服務(wù)。該服務(wù)在W XP/2003開(kāi)始引入,windows 2003 Server/Vista 得到加強(qiáng),并在Windows 7/8/8.1/10所有版本默認(rèn)開(kāi)啟的,可以在一定條件下保存文件的歷史版本數(shù)據(jù)。
根據(jù)網(wǎng)上的資料,WannaCry病毒在運(yùn)行后除了加密特定類型文件,還會(huì)清除系統(tǒng)中的卷影副本數(shù)據(jù)。但通過(guò)我們研發(fā)人員的實(shí)際測(cè)試,在部分版本(主要是64位)的系統(tǒng)中,卷影副本并未被清除。如果被感染的計(jì)算機(jī)還存在卷影副本數(shù)據(jù),通過(guò)一定的方式讀取并導(dǎo)出文件的歷史版本,即可“恢復(fù)”出相關(guān)數(shù)據(jù),若計(jì)算機(jī)在被感染前一天有開(kāi)機(jī)系統(tǒng)默認(rèn)備份過(guò),更有可能實(shí)現(xiàn)100%數(shù)據(jù)恢復(fù)。
使用方法:
【1】打開(kāi)恢復(fù)大師,選擇“計(jì)算機(jī)恢復(fù)”功能
【2】數(shù)據(jù)源類型選擇“鏡像”
【3】點(diǎn)擊“添加鏡像”選擇磁盤鏡像文件(本例中為上述實(shí)驗(yàn)的虛擬機(jī)鏡像)
【4】選擇完成后,點(diǎn)擊快速恢復(fù),稍等片刻恢復(fù)完成后在左側(cè)恢復(fù)結(jié)果樹(shù)中的“辦公文檔”→“Word文檔”節(jié)點(diǎn)即可找到恢復(fù)成功的“美亞柏科簡(jiǎn)介.doc”文檔,且可正常預(yù)覽和導(dǎo)出
【5】如果被感染磁盤中還存在卷影副本數(shù)據(jù),則快速恢復(fù)結(jié)束后會(huì)在結(jié)果中多出一個(gè)形如“分區(qū)3_本地磁盤[分區(qū)1_本地磁盤[C ]卷影快照2017-05-14 14:23:57 ”的節(jié)點(diǎn),其中的數(shù)據(jù)可以直接預(yù)覽,導(dǎo)出即可恢復(fù)計(jì)算機(jī)上一次備份。若備份及時(shí),甚至可以恢復(fù)出感染前的全部數(shù)據(jù)。
【6】在具體實(shí)踐中,如果“快速恢復(fù)”未恢復(fù)出所需數(shù)據(jù),可以嘗試點(diǎn)擊上圖左下角的“深度恢復(fù)”按鈕進(jìn)行全盤掃描,可能恢復(fù)出更多的數(shù)據(jù)。