На компьютере, на котором я работаю, большинство файлов зашифровано программой-вымогателем TeslaCrypt. Я обнаружил, что он не удаляет теневые копии и может быть доступно несколько резервных копий.
Я попытался смонтировать несколько теневых копий до заражения, используя vssadmin list shadows и mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\ и могу видеть большинство файлов, которые мы заинтересованы в восстановлении.
Проблема в том, что большинство файлов, на которые я смотрю, частично содержат правильные данные, но имеют большие блоки нулей (\x00) либо в конце, либо в середине файлов.
Файлы имеют все оригинальные размеры, за исключением того, что в них отсутствуют большие куски. Эти недостающие части файлов утеряны или есть проблема с этими теневыми копиями?
Система: Windows 8.1 64-битная.
РЕДАКТИРОВАТЬ:
Может быть, это происходит потому, что Windows 8 постепенно сокращает теневое копирование тома и вместо этого использует резервное копирование на уровне блоков?