恢复大师永恒之蓝 v1.4.40400专修版

恢复大师永恒之蓝专修版是美亚柏科推出的一款专为“永恒之蓝”勒索病毒研发的系统恢复工具。恢复大师永恒之蓝专修版能够帮助用户恢复被"永恒之蓝"勒索病毒造成的系统破坏，恢复被系统破坏的数据、文件、系统，并且也能够帮您预防你的系统遭到破坏，预防病毒入侵。软件有两种恢复模式：文件系统删除恢复和卷影副本数据恢复，前者是通过删除遭到破坏的文件系统对数据尝试恢复，后者是通过Windows系统默认的开启的文件备份服务，保存文件历史版本数据以恢复系统数据。软件支持在Windows系统运行，操作简单，使用方便，作用非常大，很实用，欢迎有需要的朋友下载体验！

恢复大师永恒之蓝专修版特色介绍：

1、通过文件系统删除恢复原理恢复
WannaCry病毒删除原文件与普通的文件删除过程情形一致，可以通过文件系统的删除恢复原理对数据尝试恢复。 这也是目前国内有部分安全厂商提供的工具的运行方法。但是此方式的局限性在于必需确保原文件删除后未被新的数据覆盖，如果后续文件读写操作操作比较多，则可能造成数据恢复失败。数据恢复可能性不稳定。
2、通过卷影副本数据进行恢复
在数据被覆盖无法通过常规方式进行恢复的情况下，我们依然可以尝试使用另一个方式——卷影副本服务。卷影副本服务是Windows系统默认开启的文件备份服务。该服务在W XP/2003开始引入，windows 2003 Server/Vista 得到加强，并在Windows 7/8/8.1/10所有版本默认开启的，可以在一定条件下保存文件的历史版本数据。
(注：根据网上的资料，WannaCry病毒在运行后除了加密特定类型文件，还会清除系统中的卷影副本数据。但通过我们研发人员的实际测试，在部分版本(主要是64位)的系统中，卷影副本并未被清除。如果被感染的计算机还存在卷影副本数据，通过一定的方式读取并导出文件的历史版本，即可“恢复”出相关数据，若计算机在被感染前一天有开机系统默认备份过，更有可能实现100%数据恢复。)

恢复大师永恒之蓝专修版使用说明：

1、打开恢复大师，选择“计算机恢复”功能,如下图：

2、数据源类型选择“镜像”，如下图：

3、点击“添加镜像”选择磁盘镜像文件(本例中为上述实验的虚拟机镜像)，如下图：

4、选择完成后，点击快速恢复，稍等片刻恢复完成后在左侧恢复结果树中的“办公文档”→“Word文档”节点即可找到恢复成功的“美亚柏科简介.doc”文档，且可正常预览和导出，如下图所示：

5、如果被感染磁盘中还存在卷影副本数据，则快速恢复结束后会在结果中多出一个形如“分区3_本地磁盘[分区1_本地磁盘[C ]卷影快照2017-05-14 14:23:57 ”的节点，其中的数据可以直接预览，导出即可恢复计算机上一次备份。若备份及时，甚至可以恢复出感染前的全部数据。如下图所示：

6、在具体实践中，如果“快速恢复”未恢复出所需数据，可以尝试点击上图左下角的“深度恢复”按钮进行全盘扫描，可能恢复出更多的数据。

专修版卷影修复方法：

1、在恢复结果中，选择按"目录"展示，可以查看当前系统的目录结构，其中有"卷影快照+时间"命名的分区节点即为卷影副本，例如“分区3_本地磁盘[分区1_本地磁盘[C]卷影快照2017-05-14 14:23:57 ”的节点：

2、在正常分区中查看文档数据，数据均已被病毒感染，并没有正常的文档数据可以查看，如下图：

3、在目录结构中显示卷影数据，卷影数据保存的是被感染之前的数据，可以尝试在卷影中查找存储的文档，如下图所示可能找到被感染之前的原文件：