WannaCry感染文件恢複方法，企業再也不用愁了！

WannaCry勒索軟件感染了全球超過30萬台計算機，不少朋友周一上班時發現自己的電腦已經感染了WannaCry。雖然現在病毒已經得到控製，但是已經感染的電腦文件要如何恢複？

深入分析WannaCry代碼後，我們發現代碼中充滿了錯誤，受害者能夠利用一些簡單命令就恢複文件，企業再也不用愁了！

由於惡意軟件不可能直接加密或修改隻讀文件，WannaCry會複製這些文件並創建加密版本。雖然原始文件並沒有動，但被賦予一個”hidden”屬性，要恢複原始數據僅需受害者恢複其正常屬性即可。

這並非WannaCry源代碼中的唯一錯誤，在某些情況下，它在加密後並未刪除文件。

研究人員表示，存儲在重要文件夾中的文件如桌麵或文檔文件夾在沒有解密密鑰的情況下無法被恢複，因為WannaCry旨在在恢複原始文件前用隨機數據覆寫原始文件。

然而，研究人員注意到存儲在係統盤重要文件夾之外的其它文件能通過使用數據恢複軟件從臨時文件夾中恢複。研究人員指出，“原始文件會被遷移到%TEMP%\%d.WNCRYT（%d指的是數值）。這些文件包含原始數據且並未被覆寫”。

對於非係統盤來說，WannaCry勒索軟件創建了一個隱藏的’$RECYCLE’文件夾並將原始文件加密後遷移到這個目錄下。隻要將這個文件夾顯示隱藏就能恢複文件。

另外，由於WannaCry代碼中存在“同步錯誤”，在很多情況下，原始文件還位於相同的目錄下，這樣受害者就能通過可用的數據恢複軟件恢複被不安全刪除的文件。