WannaCry勒索软件中毒后的计算机文件会被加密,但是通过测试发现,加密软件先加密文件然后再删除原文件。

所以我们可以尝试使用硬盘恢复工具,恢复部分文件,因为在电脑的安全模式下Wannacry并没有运行。中毒后如果想恢复部分文件,千万不要进行写入操作。

在一台Windows7 电脑的D盘,有几个重要的文件。txt,excel,docx。

image

病毒运行的几秒钟的时间内,加密文件和原文件是并存的。

image

等待Wannacry完全启动后,原文件会被删除。

image

电脑中毒。

image

重启电脑,按F8进入电脑的安全模式。

image

进入安全模式后,启动硬盘恢复工具进行文件恢复。(在安全模式下,发现Wannacry并没有启动)

clip_image001

选择文件类型

clip_image001[4]

因为恢复的是文件所以选择文档累恢复。

clip_image001[6]

等待扫描完成。

clip_image001[8]

发现被Wannacry加密的原文件。

clip_image001[10]

把文件恢复出来

clip_image001[12]

这里恢复到c盘(如果有移动硬盘,可以把文件复制到一个空的移动硬盘)

clip_image001[14]

文件还原完毕

clip_image001[16]

原文件被还原。

clip_image001[18]

这种恢复模式取决于电脑回收站的大小,如果大量文件被加密删除,那么该种办法只能恢复部分文件。