Schattenkopie wiederhergestellte Dateien enthalten viele NULL-Blöcke

743
drew010

Auf einem Computer, an dem ich arbeite, waren die meisten Dateien mit dem Ransomware-Programm TeslaCrypt verschlüsselt. Ich habe festgestellt, dass die Schattenkopien nicht gelöscht wurden und dass möglicherweise eine Reihe von Sicherungen verfügbar ist.

Ich habe versucht, einige der Schattenkopien vor der Infektion zu mounten, vssadmin list shadowsund mklink /D C:\restore \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\kann die meisten Dateien, die wir wiederherstellen möchten, sehen.

Das Problem ist, dass die meisten der von mir betrachteten Dateien teilweise die korrekten Daten enthalten, aber große Blöcke von Nullen ( \x00) entweder am Ende oder in der Mitte der Dateien enthalten.

Bei den Dateien handelt es sich um alle Originalgrößen, außer dass große Stücke fehlen. Gehen die fehlenden Teile der Dateien verloren oder gibt es Probleme mit diesen Schattenkopien?

System: Windows 8.1 64-Bit.

BEARBEITEN:

Möglicherweise geschieht dies, weil Windows 8 die Volume-Schattenkopie ausläuft und stattdessen eine Sicherung auf Blockebene verwendet?

0
Ich habe kürzlich ein ähnliches Problem erlebt. Ich habe mein Problem nur wenige Minuten in MS-Communitys veröffentlicht, bevor ich diese Frage entdeckte. Nur als Querverweis: http://answers.microsoft.com/de-de/windows/forum/windows8_1-files/shadow-copy-snapshot-file-contents-silently/06a5e25b-6607-45eb-81a1-71cfc2b0cce3? tm = 1431093840771 Don Zoomik vor 8 Jahren 0
@DonZoomik Schön, dass du das gefunden hast, danke für den Kommentar. Ich habe gerade auf den MS-Beitrag geantwortet und hoffe, dass jemand Informationen dazu hat. Sicherlich wäre jemand in der Zukunft nützlich. Leider konnte ich nichts für die Person tun, deren Dateien ich zuvor wiederhergestellt hatte, da keine relevanten Informationen zum Problem vorhanden waren. drew010 vor 8 Jahren 0
Ich habe meinen Chef dazu überredet, eine Kreditkarte für Unternehmen bereitzustellen. Ich habe gerade einen Microsoft Professional Support-Vorfall erstellt. Mal sehen, was passiert ... In der Zwischenzeit habe ich die gleiche Frage auch in den TechNet-Foren gestellt (vielleicht gibt es kompetentere Augen ...), aber keine nützlichen Antworten. https://social.technet.microsoft.com/Forums/en-US/8012dd85-410e-49d4-8d09-191b915b2852/shadow-copy-snapshot-file-contents-silent-onrupt-on-windows-81?forum= w8itprogeneral Don Zoomik vor 8 Jahren 0
@DonZoomik Viel Glück, hoffentlich helfen sie, es herauszufinden. Ich freue mich auf die Ergebnisse. drew010 vor 8 Jahren 0

1 Antwort auf die Frage

0
Don Zoomik

Der Microsoft Professional Support hat das Problem bestätigt (zuvor von Microsoft nicht bekannt). Es gibt keine Problemumgehungen, aber in der Zukunft wird es wahrscheinlich einen öffentlichen Hotfix geben (derzeit gibt es keine Zeitleiste).

Wenn Sie sich an den MS-Support wenden möchten, verweisen Sie bitte auf meinen Support-Vorfall 115060812822144, um die Sichtbarkeit zu erhöhen. Das Problem bleibt ungelöst (aber bestätigt). Don Zoomik vor 8 Jahren 0

Verwandte Probleme