如何恢复部分WannaCry勒索软件加密文件
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://yueque.blog.51cto.com/4580340/1926054
WannaCry勒索软件中毒后的计算机文件会被加密,但是通过测试发现,加密软件先加密文件然后再删除原文件。
所以我们可以尝试使用硬盘恢复工具,恢复部分文件,因为在电脑的安全模式下Wannacry并没有运行。中毒后如果想恢复部分文件,千万不要进行写入操作。
在一台Windows7 电脑的D盘,有几个重要的文件。txt,excel,docx。
病毒运行的几秒钟的时间内,加密文件和原文件是并存的。
等待Wannacry完全启动后,原文件会被删除。
电脑中毒。
重启电脑,按F8进入电脑的安全模式。
进入安全模式后,启动硬盘恢复工具进行文件恢复。(在安全模式下,发现Wannacry并没有启动)
选择文件类型
![clip_image001[4]](http://s3.51cto.com/wyfs02/M00/95/CE/wKioL1kZyqvSpC7tAAC1Ulr6cSg810.png "clip_image001[4]")
因为恢复的是文件所以选择文档累恢复。
![clip_image001[6]](http://s3.51cto.com/wyfs02/M01/95/CE/wKiom1kZyq3QLDa3AABF4sT-hyM401.png "clip_image001[6]")
等待扫描完成。
![clip_image001[8]](http://s3.51cto.com/wyfs02/M02/95/CE/wKiom1kZyq6jPg0iAAGA_zL0D-4812.png "clip_image001[8]")
发现被Wannacry加密的原文件。
![clip_image001[10]](http://s3.51cto.com/wyfs02/M02/95/CE/wKiom1kZyq-h88tqAAEU7SN90_E504.png "clip_image001[10]")
把文件恢复出来
![clip_image001[12]](http://s3.51cto.com/wyfs02/M00/95/CE/wKiom1kZyrGTQ4pCAADxLubRIOs255.png "clip_image001[12]")
这里恢复到c盘(如果有移动硬盘,可以把文件复制到一个空的移动硬盘)
![clip_image001[14]](http://s3.51cto.com/wyfs02/M01/95/CE/wKiom1kZyrLAFUunAAEOrGbJ6kQ565.png "clip_image001[14]")
文件还原完毕
![clip_image001[16]](http://s3.51cto.com/wyfs02/M01/95/CE/wKioL1kZyrOgC2HXAAD0_OWkVBs804.png "clip_image001[16]")
原文件被还原。
![clip_image001[18]](http://s3.51cto.com/wyfs02/M02/95/CE/wKioL1kZyrTDvaZyAADbA3DIDdo694.png "clip_image001[18]")
