→ dennisxkimo : 喔~放進去testdisk利用誤刪檔案救回方式撈出來 04/27 15:11
→ dennisxkimo : 因為是用7z壓縮加密碼加上完成後刪除原檔案 04/27 15:15
→ bitlife : 勒索軟體加密過程就一直在寫入不是? 還是它是全做完 04/27 15:15
→ bitlife : 所有檔案才一整批刪除? 04/27 15:16
推 andy199113 : 好文 04/27 15:50
→ derek364745 : 還沒救完,不過看救援出來的檔案都是可以開的 04/27 17:00
→ derek364745 : 我覺得他是加密完再一次刪除 04/27 17:01
推 maniaque : 先建已加密檔(用既有空的空間),刪除檔案(放出空間) 04/27 17:23
→ maniaque : 原始檔案雖然 table entry 被刪,但透過救援還是可以 04/27 17:24
→ maniaque : 追檔案(只要放出的空間沒有被其他檔案用去) 04/27 17:24
推 Ken210430 : 推 04/27 17:42
推 FTICR : 推 04/27 18:38
推 MK47 : 推 04/27 21:59
推 TWN48 : 從之前那個撈正在進行中的加密密碼的 hack 可以看到 04/27 23:39
→ TWN48 : 命令列參數,是用 7z 的 -sdel: 壓縮後刪除原檔做的 04/27 23:39
推 bitlife : 我今天早上想到,勒索病毒一定是加密完一個就刪一個, 04/28 06:47
→ bitlife : 否則只要它工作還沒完成直接砍掉,所有原檔都還在,這 04/28 06:47
→ bitlife : 應該不可能,所以檔案數越多,就等於越早被加密後刪除 04/28 06:49
→ bitlife : 的檔,刪除後經歷了越多後續的寫入動作,推測能成功救 04/28 06:50
→ bitlife : 回的檔是較晚被加密後刪除的 04/28 06:50
推 money0922 : 謝謝分享,先試試看 04/28 10:42
推 twnuu : 幫推,如果有用到的人可以參考 04/30 19:18