WannaCry勒索軟件中毒後的計算機文件會被加密,但是通過測試發現,加密軟件先加密文件然後再刪除原文件。
所以我們可以嘗試使用硬盤恢復工具,恢復部分文件,因爲在電腦的安全模式下Wannacry並沒有運行。中毒後如果想恢復部分文件,千萬不要進行寫入操作。
在一臺Windows7 電腦的D盤,有幾個重要的文件。txt,excel,docx。
病毒運行的幾秒鐘的時間內,加密文件和原文件是並存的。
等待Wannacry完全啓動後,原文件會被刪除。
電腦中毒。
重啓電腦,按F8進入電腦的安全模式。
進入安全模式後,啓動硬盤恢復工具進行文件恢復。(在安全模式下,發現Wannacry並沒有啓動)
選擇文件類型
![clip_image001[4]](http://s3.51cto.com/wyfs02/M00/95/CE/wKioL1kZyqvSpC7tAAC1Ulr6cSg810.png "clip_image001[4]")
因爲恢復的是文件所以選擇文檔累恢復。
![clip_image001[6]](http://s3.51cto.com/wyfs02/M01/95/CE/wKiom1kZyq3QLDa3AABF4sT-hyM401.png "clip_image001[6]")
等待掃描完成。
![clip_image001[8]](http://s3.51cto.com/wyfs02/M02/95/CE/wKiom1kZyq6jPg0iAAGA_zL0D-4812.png "clip_image001[8]")
發現被Wannacry加密的原文件。
![clip_image001[10]](http://s3.51cto.com/wyfs02/M02/95/CE/wKiom1kZyq-h88tqAAEU7SN90_E504.png "clip_image001[10]")
把文件恢復出來
![clip_image001[12]](http://s3.51cto.com/wyfs02/M00/95/CE/wKiom1kZyrGTQ4pCAADxLubRIOs255.png "clip_image001[12]")
這裏恢復到c盤(如果有移動硬盤,可以把文件複製到一個空的移動硬盤)
![clip_image001[14]](http://s3.51cto.com/wyfs02/M01/95/CE/wKiom1kZyrLAFUunAAEOrGbJ6kQ565.png "clip_image001[14]")
文件還原完畢
![clip_image001[16]](http://s3.51cto.com/wyfs02/M01/95/CE/wKioL1kZyrOgC2HXAAD0_OWkVBs804.png "clip_image001[16]")
原文件被還原。
![clip_image001[18]](http://s3.51cto.com/wyfs02/M02/95/CE/wKioL1kZyrTDvaZyAADbA3DIDdo694.png "clip_image001[18]")
這種恢復模式取決於電腦回收站的大小,如果大量文件被加密刪除,那麼該種辦法只能恢復部分文件。