防勒索病毒 恢复大师永恒之蓝专修版 v1.4.40400 官方版

绝望的包子

最近勒索病毒在互联网上肆掠横行，相信有很多人都中过招了，

美亚柏科计算机取证研发团队连夜根据该病毒的特性，进行了针对性的研究，

14日下午研发取得重大【突破】。现美亚柏科【恢复大师】、【取证大师】特别版本推出，

该版本支持对感染WannaCry 病毒的计算机进行数据恢复，

符合特定环境下的计算机可实现大部分甚至全部数据恢复。

中过病毒的朋友可以使用这款软件看看，没有中过病毒的也可以下载起一个防范的作用！

软件截图：

特点：

1.通过文件系统删除恢复原理恢复

WannaCry病毒删除原文件与普通的文件删除过程情形一致，

可以通过文件系统的删除恢复原理对数据尝试恢复。

这也是目前国内有部分安全厂商提供的工具的运行方法。

但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖，

如果后续文件读写操作操作比较多，则可能造成数据恢复失败。

数据恢复可能性不稳定。

2.通过卷影副本数据进行恢复

在数据被覆盖无法通过常规方式进行恢复的情况下，

我们依然可以尝试使用另一个方式——卷影副本服务。

卷影副本服务是Windows系统默认开启的文件备份服务。

该服务在W XP/2003开始引入，windows 2003 Server/Vista 得到加强，

并在Windows 7/8/8.1/10所有版本默认开启的，可以在一定条件下保存文件的历史版本数据。

根据网上的资料，WannaCry病毒在运行后除了加密特定类型文件，还会清除系统中的卷影副本数据。

但通过我们研发人员的实际测试，在部分版本（主要是64位）的系统中，卷影副本并未被清除。

如果被感染的计算机还存在卷影副本数据，通过一定的方式读取并导出文件的历史版本，

即可“恢复”出相关数据，若计算机在被感染前一天有开机系统默认备份过，更有可能实现100%数据恢复。

使用方法：

1.解压缩，打开文件夹内EXE

2.打开恢复大师，选择“计算机恢复”功能,如下图：

3.数据源类型选择“镜像”，如下图：

4.点击“添加镜像”选择磁盘镜像文件（本例中为上述实验的虚拟机镜像），如下图：

5.选择完成后，点击快速恢复，稍等片刻恢复完成后在左侧恢复结果树中的“办公文档”→“Word文档”节点即可找到恢复成功的“美亚柏科简介.doc”文档，且可正常预览和导出，如下图所示：

6.如果被感染磁盘中还存在卷影副本数据，则快速恢复结束后会在结果中多出一个形如“分区3_本地磁盘[分区1_本地磁盘[C ]卷影快照2017-05-14 14:23:57 ”的节点，其中的数据可以直接预览，导出即可恢复计算机上一次备份。若备份及时，甚至可以恢复出感染前的全部数据。如下图所示：

7.具体实践中，如果“快速恢复”未恢复出所需数据，可以尝试点击上图左下角的“深度恢复”按钮进行全盘扫描，可能恢复出更多的数据。

下载地址：

游客，如果您要查看本帖隐藏内容请回复