Sebuah komputer yang sedang saya kerjakan memiliki sebagian besar file yang dienkripsi oleh program ransomware TeslaCrypt. Saya menemukan bahwa itu tidak menghapus salinan bayangan dan mungkin ada sejumlah cadangan yang tersedia.
Saya mencoba memasang beberapa salinan bayangan sebelum menggunakan infeksi vssadmin list shadows
dan mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\
dan saya dapat melihat sebagian besar file yang ingin kami pulihkan.
Masalahnya adalah sebagian besar file yang saya lihat sebagian berisi data yang benar tetapi memiliki angka nol yang besar ( \x00
) baik di akhir atau di tengah file.
File-file tersebut semua berukuran asli kecuali bahwa mereka tidak ada potongan besar. Apakah bagian-bagian yang hilang dari file tersebut hilang atau apakah ada masalah dengan salinan bayangan ini?
Sistem: Windows 8.1 64-bit.
EDIT:
Mungkin ini terjadi karena Windows 8 sedang menghapus salinan bayangan volume dan bukannya menggunakan cadangan tingkat blok?