WannaCry 勒索病毒數據恢復指引

作者：騰訊雲鼎實驗室

一、前言

受WannaCry勒索病毒影響，許多遭受攻擊的電腦中的大部分文件被加密而被勒索要求支付比特幣以進行解密文件。當前沒有完美的解密工具或者方案，但根據對病毒的分析，我們發現病毒採用加密原文件後再刪除原文件的方式，於是針對被刪除的文件就存在一定恢復的可能性，我們只要恢復出刪除的原文件即可。

我們在13號媒體採訪時提到，可使用數據恢復軟體通過恢復被刪除的加密前的文件，能恢復部分文件，一定程度上挽回用戶損失。應用戶諮詢和要求，本文以免費工具"易我數據恢復"工具為例提供加密數據恢復指南和步驟演示。

二、 恢復方法

- 首先安裝"易我數據恢復"進行安裝，下載鏈接為：【易我數據恢復嚮導下載】2017年最新官方正式版易我數據恢復嚮導免費下載 - 騰訊軟體中心官網

- 安裝完畢後點擊桌面上的"易我數據恢復嚮導"打開軟體，進入如下界面，按需求勾選要恢復的文件類型，進入下一步

- 然後選擇丟失的位置即要恢複數據的硬碟，點擊"掃描"按鈕開始掃描

- 快速掃描後，如果未能發現你需要的文件，點擊底部的"深度掃描"按鈕

- 然後切換到類型選項卡，因為這裡顯示比較直觀，也比較好找到你所恢復的文件

- 勾選相關文件類型，右邊會顯恢復出來的文件，點擊"恢復"

- 選擇一個磁碟或者文件夾用來存放你所恢復的文件，點擊保存

- 軟體進行進入恢復裝填，等待進度條完成

- 恢復出來的文件，將會存在於Recovered data 開頭文件夾中

- 這是恢復後的文件

註：自5月6號，我們發現首例WannaCry勒索病毒案例以來，騰訊雲安全團隊第一時間為雲客戶提供安全支持，多次通過簡訊、電話等方式通知潛在風險客戶。我們會每天例行化普查勒索病毒感染情況，實時監測蠕蟲輿情。如果您的企業遭受的勒索攻擊，請聯繫我們，我們的安全工程師會協助進行安全加固和數據修復指導。

三、參考鏈接

WannaCry 勒索病毒用戶處置指南

WannaCry 勒索病毒數據恢復指引

騰訊雲鼎實驗室Killer：面對「想哭」勒索軟體，你不知道的幾件事兒 - 騰雲閣 - 騰訊雲
推薦閱讀：