Восстановленные файлы теневого копирования содержат множество блоков NULL

679
drew010

На компьютере, на котором я работаю, большинство файлов зашифровано программой-вымогателем TeslaCrypt. Я обнаружил, что он не удаляет теневые копии и может быть доступно несколько резервных копий.

Я попытался смонтировать несколько теневых копий до заражения vssadmin list shadowsи mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\смог увидеть большинство файлов, которые мы заинтересованы в восстановлении.

Проблема в том, что большинство файлов, на которые я смотрю, частично содержат правильные данные, но имеют большие блоки нулей ( \x00) либо в конце, либо в середине файлов.

Файлы имеют все оригинальные размеры, за исключением того, что в них отсутствуют большие куски. Эти недостающие части файлов утеряны или есть проблема с этими теневыми копиями?

Система: Windows 8.1 64-битная.

РЕДАКТИРОВАТЬ:

Может быть, это происходит потому, что Windows 8 постепенно сокращает теневое копирование тома и вместо этого использует резервное копирование на уровне блоков?

0
Недавно я столкнулся с подобной проблемой. Я опубликовал свою проблему в сообществах MS за несколько минут до того, как обнаружил этот вопрос. Просто для перекрестных ссылок: http://answers.microsoft.com/en-us/windows/forum/windows8_1-files/shadow-copy-snapshot-file-contents-silently/06a5e25b-6607-45eb-81a1-71cfc2b0cce3? тм = 1431093840771 Don Zoomik 9 лет назад 0
@DonZoomik Рад, что вы нашли это, спасибо за комментарий. Я только что ответил на сообщение MS и надеюсь, что у кого-то есть информация по этому вопросу. Конечно, будет полезно для кого-то в будущем. К сожалению, я ничего не мог сделать для человека, чьи файлы я пытался восстановить раньше, так как не было соответствующей информации по проблеме. drew010 9 лет назад 0
Я уговорил моего босса предоставить кредитную карту компании и только что создал инцидент технической поддержки Microsoft, давайте посмотрим, что произойдет ... В самом деле, я также задавал тот же вопрос на форумах TechNet (возможно, будет более компетентный взгляд ...), но нет полезных ответов. https://social.technet.microsoft.com/Forums/en-US/8012dd85-410e-49d4-8d09-191b915b2852/shadow-copy-snapshot-file-contents-silently-corrupted-on-windows-81?forum= w8itprogeneral Don Zoomik 9 лет назад 0
@DonZoomik Удачи, надеюсь, они помогут разобраться. С нетерпением жду результатов. drew010 9 лет назад 0

1 ответ на вопрос

0
Don Zoomik

Профессиональная поддержка Microsoft подтвердила проблему (ранее неизвестная Microsoft). Обходных путей нет, но в будущем, скорее всего, появятся общедоступные исправления (в настоящее время нет временной шкалы).

Для тех, кто хочет связаться со службой поддержки MS, просим сообщить о происшествии в службу поддержки 115060812822144, чтобы увеличить видимость Проблема остается нерешенной (но подтвержденной). Don Zoomik 8 лет назад 0