普通用戶想要自行恢復(fù)文件，需要有幾個(gè)基本的條件與注意事項(xiàng)：

第一：被恢復(fù)文件所占空間（磁盤分區(qū)）不能寫入新文件。因?yàn)樾挛募褂玫拇疟P空間可能正是你想要恢復(fù)文件所占的空間，舊文件被新文件所替換，將使得恢復(fù)操作變得困難。

所以，你發(fā)現(xiàn)文件丟失，第一時(shí)間應(yīng)該停止一切操作。如果被丟失的文件位于系統(tǒng)盤，更是需要進(jìn)行立刻的斷電操作。在本文，建議一發(fā)現(xiàn)病毒感染，立刻關(guān)閉計(jì)算機(jī)，然后，將硬盤掛接到其它電腦中，以從盤形式加載，從中避免新文件的寫入。

需要注意的是，瀏覽網(wǎng)頁(yè)、下載及安裝數(shù)據(jù)恢復(fù)軟件也是一系列的文件寫入操作，所以最好的操作就是以從盤形式加載，避免這些文件操作影響到文件的恢復(fù)成功機(jī)率。安裝數(shù)據(jù)恢復(fù)軟件時(shí)，一定不要安裝到需恢復(fù)數(shù)據(jù)文件所在磁盤分區(qū)。

如果沒(méi)有第二臺(tái)電腦，那么就只能在本機(jī)中進(jìn)行數(shù)據(jù)恢復(fù)操作了，你可以用U盤PE系統(tǒng)來(lái)引導(dǎo)電腦啟動(dòng)然后再在PE系統(tǒng)中進(jìn)行文件恢復(fù)操作。

總之要記住的是，不要往被恢復(fù)文件所在分區(qū)寫入任何數(shù)據(jù)，比如保存文件、修改文件等的操作都是需要禁止的，安裝恢復(fù)軟件也記得安裝到其它分區(qū)啊。

那個(gè)啥，如果你要恢復(fù)的資料涉及上百萬(wàn)，或者是有紀(jì)念意義的老照片等等的寶貴資料，那么建議你立刻停止嘗試自行恢復(fù)，把硬盤拆下來(lái)，交給專業(yè)人士去進(jìn)行數(shù)據(jù)恢復(fù)操作，就別瞎折騰了，以免增加恢復(fù)難度。你也別交給樓下的電腦店啊，說(shuō)不準(zhǔn)他用的就是小編所用的軟件，有的還會(huì)胡搞瞎搞。

數(shù)據(jù)恢復(fù)簡(jiǎn)單指南 有了它們你也可以恢復(fù)被誤刪除的文件

然后就是選擇啥恢復(fù)軟件的問(wèn)題，現(xiàn)在的數(shù)據(jù)恢復(fù)軟件大多都大同小異，相同的是，大多數(shù)都不是免費(fèi)的。較為知名的有Finaldata、EasyRecovery、O&O DiskRecovery 、RecoverMyFiles、DiskGenius、易數(shù)數(shù)據(jù)恢復(fù)精靈等，還有金山毒霸里邊的金山數(shù)據(jù)恢復(fù)，不過(guò)大多都不是免費(fèi)的，要注意的是不要下載到帶病毒版的了。因?yàn)樾枰謴?fù)的文件一般都比較的寶貴，黑客們也喜歡這些資料哦。目前國(guó)產(chǎn)殺毒軟件推出了免費(fèi)恢復(fù)文件工具，你也可以試試。

這里介紹的是EasyRecovery，這個(gè)工具使用比較簡(jiǎn)單，在其官網(wǎng)可以下載到試用版，官方支持簡(jiǎn)體中文，這樣一來(lái)使用就更加的簡(jiǎn)單了。

EasyRecovery的安裝簡(jiǎn)單，下一步策略就可安全完畢，記得不要把它安裝在待恢復(fù)文件所在分區(qū)。

圖9 記得修改安裝路徑

EasyRecovery的使用簡(jiǎn)單，軟件使用向?qū)Ｊ?，基本上看著向?qū)崾揪涂梢酝瓿晌募謴?fù)操作，比較的輕松愉快。在媒體類型選項(xiàng)中我們看到EasyRecovery支持對(duì)硬盤及移動(dòng)存儲(chǔ)器如U盤、SD卡等的設(shè)備進(jìn)行數(shù)據(jù)恢復(fù)操作。（同類的還有國(guó)產(chǎn)的數(shù)據(jù)恢復(fù)工具--易數(shù)數(shù)據(jù)恢復(fù)精靈）

此例中我們恢復(fù)的是硬盤數(shù)據(jù)，選擇后可以進(jìn)行硬盤分區(qū)的選擇，選擇接著就是恢復(fù)已刪除的文件和文件系統(tǒng)類型，一般勾選FAT+NTFS就可。接下來(lái)就是一段時(shí)間搜索過(guò)程，然后就會(huì)顯示找到的被刪除文件，在列表中找到目標(biāo)，將其另存到其它分區(qū)即可，記住不要保存到待恢復(fù)文件所在分區(qū)。

圖10 恢復(fù)向?qū)?/p>

再來(lái)看看一款國(guó)產(chǎn)的非常強(qiáng)大的磁盤管理工具DiskGenius，在以前老鳥(niǎo)們經(jīng)常用它來(lái)進(jìn)行硬盤分區(qū)、查錯(cuò)等的操作，現(xiàn)在它也有非常強(qiáng)大的數(shù)據(jù)恢復(fù)功能，來(lái)看看吧。軟件官網(wǎng)在這里。

DiskGenius無(wú)需安裝，下載回來(lái)直接解壓就可使用。操作也相對(duì)簡(jiǎn)單，比較遺憾的是沒(méi)有向?qū)??；謴?fù)文件的操作也比較簡(jiǎn)單，只需要在DiskGenius磁盤列表的待恢復(fù)文件所在分區(qū)使用右鍵菜單，即可看到“已刪除或格式化后的文件恢復(fù)”選項(xiàng)，選擇后進(jìn)入恢復(fù)選項(xiàng)，可以選擇需要恢復(fù)的文件類型。

開(kāi)始后就是一段時(shí)間的掃描，然后就是顯示檢測(cè)到的刪除文件列表，接著就是恢復(fù)文件的操作了。

圖11 DiskGenius恢復(fù)向?qū)?/p>

DiskGenius還有一個(gè)非常好用的功能，那就是可以恢復(fù)丟失的分區(qū)表，這個(gè)功能可以干嘛呢？就是當(dāng)你的硬盤莫名奇妙的從多個(gè)分區(qū)變成了一個(gè)分區(qū)，或者干脆一個(gè)分區(qū)都沒(méi)有了的時(shí)候使用。筆者就遇到過(guò)多次這種現(xiàn)象，搞不清是什么造成的分區(qū)表丟失的，可是用戶卻急了，這可不是丟失一兩個(gè)文件，而是硬盤里的文件全部不見(jiàn)了。

小知識(shí)：硬盤分區(qū)表可以說(shuō)是支持硬盤正常工作的骨架。操作系統(tǒng)正是通過(guò)它把硬盤劃分為若干個(gè)分區(qū)，然后再在每個(gè)分區(qū)里面創(chuàng)建文件系統(tǒng)，寫入數(shù)據(jù)文件。簡(jiǎn)單的來(lái)說(shuō)，它記錄了你的硬盤C、D、E等各個(gè)分區(qū)具體是如何劃分區(qū)域的。

接著筆者熟練的用U盤PE系統(tǒng)引導(dǎo)電腦啟動(dòng)，然后運(yùn)行DiskGenius，找到菜單欄--工具--搜索已丟失的分區(qū)，接著它就會(huì)一個(gè)一個(gè)分區(qū)的進(jìn)行查找，你需要看看找到的分區(qū)大小是否相符。確認(rèn)后進(jìn)行保存操作。數(shù)據(jù)無(wú)價(jià)，沒(méi)有把握的話還是請(qǐng)教一下身邊的高手吧。

圖12 DiskGenius分區(qū)表恢復(fù)

此外，使用DiskGenius先備份一下磁盤分區(qū)表以備不時(shí)之需會(huì)是個(gè)不錯(cuò)的主意。要備份到別的設(shè)備中去哦。

圖13 DiskGenius分區(qū)表備份

大于1.5M的被加密文件有被解密希望？是真的么？

小編剛剛說(shuō)了，如果文件真的被高強(qiáng)度加密方式加密了，那沒(méi)有密鑰解密的幾率就幾乎為零了。

不過(guò)，據(jù)國(guó)內(nèi)效率源科技經(jīng)研究發(fā)現(xiàn)，“永恒之藍(lán)”勒索病毒的加密方式主要有兩種。

1、WannaCry敲詐者對(duì)大于1.5MB文件的加密方式

對(duì)于大于0x180000字節(jié)(1.5MB)的文件，是按照正常文件總大小整除3，得到每個(gè)間隔塊大小M，將文件分為M、2M大小的兩個(gè)間隔塊，每個(gè)間隔塊的前512扇區(qū)被填0，被加密的512扇區(qū)都會(huì)被填0，并將加密的多個(gè)512扇區(qū)寫入到文件尾部。針對(duì)特殊格式的文檔，如docx文檔，可進(jìn)行碎片恢復(fù)。目前，效率源科技技術(shù)工程師已成功開(kāi)發(fā)出免費(fèi)工具——“永恒之藍(lán)”比特幣勒索Office數(shù)據(jù)恢復(fù)工具V1.0。打開(kāi)軟件，導(dǎo)入被加密文件，選擇存儲(chǔ)路徑(建議保存在干凈的移動(dòng)硬盤或U盤上)，點(diǎn)擊數(shù)據(jù)分析，即可進(jìn)行數(shù)據(jù)恢復(fù)。

也就是說(shuō)，可能基于加密速度考慮，病毒作者并沒(méi)有對(duì)大文件也進(jìn)行高強(qiáng)度加密方式加密文件，這也給文件解密帶來(lái)了希望。小編也嘗試了該工具，不過(guò)不知為何不能成功恢復(fù)文件，表現(xiàn)為點(diǎn)擊了“數(shù)據(jù)分析”后，保存路徑中沒(méi)有文件。不管如何，文件被病毒惡意加密的同學(xué)可以嘗試使用該工具嘗試解密一下。如果真的未經(jīng)過(guò)高強(qiáng)度加密，那還有解密的希望，就是尚不知道病毒是否是真的如此操作。

此外，360安全衛(wèi)士與金山毒霸也有對(duì)應(yīng)的文件恢復(fù)工具推出，同樣可以嘗試一下。

圖14 測(cè)試文件

圖15 測(cè)試文件已被病毒惡意加密

圖16 不知為何沒(méi)有反映

2、WannaCry敲詐者對(duì)大于小于0x180000字節(jié)（1.5MB）文件的加密方式：

對(duì)于小于0x180000字節(jié)的文件，其全部?jī)?nèi)容都進(jìn)行了加密，但是在加密小文件時(shí)，會(huì)先加密，再刪除原文件。也就是說(shuō)，可以嘗試以上邊小編所說(shuō)的方式進(jìn)行刪除文件恢復(fù)操作，而解密被加密的文件就沒(méi)戲。

總結(jié)

萬(wàn)一成功恢復(fù)了被病毒惡意刪除的原文件，趕緊的進(jìn)行異地備份。你也別大意，依據(jù)目前病毒的發(fā)展速度，相信很快就有變種出來(lái)，克服之前病毒的缺陷，使得它更難防范，數(shù)據(jù)文件清除操作也會(huì)加入其中，所以安全為上，裝個(gè)靠譜的殺毒軟件，定期的異地備份，硬盤有價(jià)數(shù)據(jù)無(wú)價(jià)?。〈送?，其它的敲詐者病毒有沒(méi)有這個(gè)漏洞尚待發(fā)掘，但小編測(cè)試過(guò)的幾個(gè)敲詐者病毒都是直接高強(qiáng)度加密文件的。