WannaCry 勒索病毒数据恢复指引

一、前言

受WannaCry勒索病毒影响，许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。当前没有完美的解密工具或者方案，但根据对病毒的分析，我们发现病毒采用加密原文件后再删除原文件的方式，于是针对被删除的文件就存在一定恢复的可能性，我们只要恢复出删除的原文件即可。

我们在13号媒体采访时提到，可使用数据恢复软件通过恢复被删除的加密前的文件，能恢复部分文件，一定程度上挽回用户损失。应用户咨询和要求，本文以免费工具"易我数据恢复"工具为例提供加密数据恢复指南和步骤演示。

二、 恢复方法

1. 首先安装"易我数据恢复"进行安装，下载链接为：http://pc.qq.com/detail/7/detail_161187.html
2. 安装完毕后点击桌面上的"易我数据恢复向导"打开软件，进入如下界面，按需求勾选要恢复的文件类型，进入下一步

[1494753178995_3304_1494753179487.png]

1. 然后选择丢失的位置即要恢复数据的硬盘，点击"扫描"按钮开始扫描
   

   [1494753198571_2808_1494753199056.png]
2. 快速扫描后，如果未能发现你需要的文件，点击底部的"深度扫描"按钮

![](//blog-10039692.file.myqcloud.com/1494753246964_9599_1494753247736.png)

1. 然后切换到类型选项卡，因为这里显示比较直观，也比较好找到你所恢复的文件
   

   [1494753298417_2358_1494753299602.png]
2. 勾选相关文件类型，右边会显恢复出来的文件，点击"恢复"

![](//blog-10039692.file.myqcloud.com/1494753331293_2028_1494753331855.png)

1. 选择一个磁盘或者文件夹用来存放你所恢复的文件，点击保存
   

   [1494753365191_4473_1494753365789.png]
2. 软件进行进入恢复装填，等待进度条完成

![](//blog-10039692.file.myqcloud.com/1494753440637_9285_1494753441388.png)

1. 恢复出来的文件，将会存在于Recovered data 开头文件夹中
   

   [1494753470012_7741_1494753470690.png]
2. 这是恢复后的文件

![](//blog-10039692.file.myqcloud.com/1494753608635_2468_1494753609388.png)

注：自5月6号，我们发现首例WannaCry勒索病毒案例以来，腾讯云安全团队第一时间为云客户提供安全支持，多次通过短信、电话等方式通知潜在风险客户。我们会每天例行化普查勒索病毒感染情况，实时监测蠕虫舆情。如果您的企业遭受的勒索攻击，请联系我们，我们的安全工程师会协助进行安全加固和数据修复指导。

三、参考链接

1 易我数据恢复官网：http://www.easeus.com.cn/drw/

2 金山数据恢复官网：http://vip.ijinshan.com/huifu/index/