hexj9 |
2017-07-01 15:15 |
了解了这些情况之后,我对Petya的特征得出以下结论:
1、它是一种MBR引导区病毒; 2、类似当年的CIH,为了加快破坏文件速度,它不使用全盘加密而是直接破坏的分区表; 3、但是,它破坏分区表并不是简单地删除分区表,而是破坏了每个分区的文件系统,导致系统无法再正确读取这些磁盘的数据,因此也无法靠修复分区表来解决此问题。
因此,想救回这些文件,你可以使用任何主流的支持从RAW分区恢复数据的数据恢复软件来很方便地救回这些数据,比如说易数科技的DiskGenius、X-Ways的WinHex。 你可以选择在PE下使用这类数据恢复软件,也可以选择将硬盘外接到别的电脑上来使用。 另外特别说明,这种情况出现之后,不要使用chkdsk磁盘扫描工具来修复磁盘,否则它会删除这些你还可能救得回来的文件。
我这里使用的是专业版,为了支持开发商对数据恢复做出的努力,强烈建议购买正版。购买这类数据恢复软件付出的代价也比向黑客支付300美元的赎金低得多,带来的好处就比冒着可能无法恢复数据的风险支付赎金大得多。 当然,如果你的被破坏的分区是使用像BitLocker这样的加密程序加密过的,那么数据拯救回来的可能性就比较低了。
恢复数据之后,这些文件的文件名可能已经丢失了,但是文件的状态非常棒,数据也还完好,你可以把它们恢复到你的外接的存储设备上,重新整理一下文件名和位置,再来重新安装操作系统。 不过重新安装系统的时候,如果条件允许,请一定要使用UEFI+GPT这种组合的安装模式且关闭CSM来抵御引导区病毒的袭击,而且需要安装至少Windows 8。 如果电脑不能支持UEFI启动模式,那么重装系统完成之后,请一定要及时关闭可能的端口,安装好系统更新并做好引导区防护工作,避免类似病毒的威胁。
数据无价这个道理,只有经历过了才会懂。 导致数据丢失的根本原因,并非黑客的贪婪,而是管理员的安全意识低下。 只要及时封堵导致这些安全隐患的漏洞,并做好各种可能的安全威胁的防范工作,就可以防患于未然。 |
|