美亚恢复大师永恒之蓝 v1.4.40400专修版

美亚恢复大师永恒之蓝是一款由美亚柏科出品的专门修复永恒之蓝比特币勒索病毒的一款恢复系统恢复工具,如果您担心您的电脑遭到永恒之蓝的威胁,马上下载使用吧。

软件说明

　　5月12日晚间，一款名为WannaCRY“永恒之蓝”的恶意勒索软件在全球肆虐，受害电脑被黑客“劫持”，大量文件被加密锁定，并索要高额比特币赎金。截至14日下午，该软件已经在全球范围内感染了包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等100多个国家和地区超过数十万台电脑。各国政府和公共网络系统，众多学校、医院、企业都受到侵害，我国许多高校校园网和多家能源企业、政府机构也中招，多地的出入境、派出所等公安网也疑似遭遇了病毒袭击，对重要数据造成严重损失。其中在WannaCry病毒爆发后，美亚柏科计算机取证研发团队连夜根据该病毒的特性，进行了针对性的研究，14日下午研发取得重大【突破】。现美亚柏科【恢复大师】、【取证大师】特别版本推出，该版本支持对感染WannaCry 病毒的计算机进行数据恢复，符合特定环境下的计算机可实现大部分甚至全部数据恢复。

软件预览

软件特色

　　一、通过文件系统删除恢复原理恢复

　　WannaCry病毒删除原文件与普通的文件删除过程情形一致，可以通过文件系统的删除恢复原理对数据尝试恢复。 这也是目前国内有部分安全厂商提供的工具的运行方法。但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖，如果后续文件读写操作操作比较多，则可能造成数据恢复失败。数据恢复可能性不稳定。

　　二、通过卷影副本数据进行恢复

　　在数据被覆盖无法通过常规方式进行恢复的情况下，我们依然可以尝试使用另一个方式——卷影副本服务。

　　卷影副本服务是Windows系统默认开启的文件备份服务。该服务在W XP/2003开始引入，windows 2003 Server/Vista 得到加强，并在Windows 7/8/8.1/10所有版本默认开启的，可以在一定条件下保存文件的历史版本数据。

　　根据网上的资料，WannaCry病毒在运行后除了加密特定类型文件，还会清除系统中的卷影副本数据。但通过我们研发人员的实际测试，在部分版本（主要是64位）的系统中，卷影副本并未被清除。如果被感染的计算机还存在卷影副本数据，通过一定的方式读取并导出文件的历史版本，即可“恢复”出相关数据，若计算机在被感染前一天有开机系统默认备份过，更有可能实现100%数据恢复。

使用方法

　　【1】打开恢复大师，选择“计算机恢复”功能,如下图：

　　【2】数据源类型选择“镜像”，如下图：

　　【3】点击“添加镜像”选择磁盘镜像文件（本例中为上述实验的虚拟机镜像），如下图：

　　【4】选择完成后，点击快速恢复，稍等片刻恢复完成后在左侧恢复结果树中的“办公文档”→“Word文档”节点即可找到恢复成功的“美亚柏科简介.doc”文档，且可正常预览和导出，如下图所示：

　　【5】如果被感染磁盘中还存在卷影副本数据，则快速恢复结束后会在结果中多出一个形如“分区3_本地磁盘[分区1_本地磁盘[C ]卷影快照2017-05-14 14:23:57 ”的节点，其中的数据可以直接预览，导出即可恢复计算机上一次备份。若备份及时，甚至可以恢复出感染前的全部数据。如下图所示：

　　【6】在具体实践中，如果“快速恢复”未恢复出所需数据，可以尝试点击上图左下角的“深度恢复”按钮进行全盘扫描，可能恢复出更多的数据。