最近WannaCry敲詐者病毒來勢洶洶，中招的用戶電腦全盤資料文件被惡意加密，必須交付贖金才能解密文件。而贖金為比特幣形式交付，問題是最近比特幣漲的讓人吃驚??！所以各位記得重要資料離線備份啊！如何防范WannaCry敲詐者，可以查看小編的另一篇文章。本文我們來看看如果不幸中招，我們?nèi)绾螄L試恢復(fù)被惡意加密的資料文件。

圖1 WannaCry病毒

昨晚，在測試病毒的時候，小編就發(fā)覺一個奇怪的現(xiàn)象，在WannaCry未完成加密時，被加密文件目錄下出現(xiàn)了原文件與被加密后的文件共存現(xiàn)象，待WannaCry病毒加密完畢后，資料原文件就不見了，應(yīng)該是給刪除了。

圖2 原文件與加密后文件并存的短暫時間

WannaCry敲詐者病毒加密后的文件能恢復(fù)么？實(shí)測一下

如果原文件只是給簡單做了刪除操作，那么我們就有了恢復(fù)原文件的希望。但如果病毒在刪除文件時，做了“清除”文件操作，也就是在刪除文件后用隨機(jī)數(shù)據(jù)填充被刪除文件所在存儲地址，那就沒多少希望進(jìn)行數(shù)據(jù)恢復(fù)了。

不管如何，咱來實(shí)測一下。

首先，在測試機(jī)的D盤上放上測試目錄“手機(jī)qq7.0”，里邊包含了圖片類型文件與文本文件與office文檔，共計(jì)文件30個。

圖3 測試文件夾內(nèi)容

接著小編在測試機(jī)上運(yùn)行WannaCry病毒（請勿模仿，資料數(shù)據(jù)文件灰飛煙滅可不是鬧著玩的），過了一會，測試文件夾的資料文件就給惡意加密了。

圖4 測試文件夾里的資料全部被惡意加密

接著，小編安裝了一款數(shù)據(jù)恢復(fù)軟件，嘗試對被刪除的原文件進(jìn)行恢復(fù)操作。

圖5 啟動數(shù)據(jù)恢復(fù)軟件

測試結(jié)果讓小編吃驚，竟然成功的找到了被病毒刪除的原文件，趕緊的嘗試恢復(fù)操作。

圖6 成功找到被病毒刪除的原文件

圖7 嘗試進(jìn)行被刪除文件的恢復(fù)操作

結(jié)果就是，小編成功地恢復(fù)了被病毒刪除的原文件。

圖8 成功恢復(fù)原文件

測試到此，可以慶幸的是，WannaCry病毒并沒有對原文件進(jìn)行清除操作。不過有研究人員說WannaCry病毒會對資料原文件進(jìn)行清除操作，難道需要更多的等候時間病毒才能完成清除操作？難道是新變種？需要注意的是，這個方法并不是解密被病毒加密的文件，被病毒加密的文件采用了高強(qiáng)度加密方式，沒有病毒作者手里的密鑰，破解幾率渺茫。

（更新，有研究表明，該病毒對小于1.5M的文件才進(jìn)行了全部加密，對于大于1.5M的文件采用的是非高強(qiáng)度加密方式，可能是病毒作者為了加快加密速度所設(shè)置的，本文也將介紹一下大于1.5M的文件的恢復(fù)方法，你也可以嘗試一下，具體方法請往下看）。