利用比特幣匿名敲詐收取贖金的Wana Decrypt0r病毒最近席捲全球, 國內更是因為大量老系統關閉自動更新而錯過了抵禦病毒的最佳機會。 要找回被加密的檔, 除了乖乖支付贖金之外, 還有一招有機會免費救回檔。
從原理上說, 病毒在加密檔後會將原來的檔刪除, 雖然已經被加密的檔無法破解, 但被刪除的資料只要通過反刪除軟體就能救回。 360和金山都發佈了檔案修復工具, 其實任意一個具備檔案修復功能的軟體都能做到, 比如PE工具箱裡普遍自帶的DiskGenius
被加密檔能成功被解救前提是發現中毒後要立刻停止使用電腦, 避免已刪除檔的位置被新寫入資料覆蓋。 悲劇的是這一招並不適合固態硬碟使用者, 因為Trim指令會讓固態硬碟在刪除檔後將對應位置資料徹底抹除, 資料基本沒有被找回的可能。
那麼固態硬碟能否關閉Trim使用呢?以管理員身份運行命令列提示符, 輸入fsutil behavior set disabledeletenotify 1回車即可禁用Trim特性。
不過TLC固態硬碟使用者最好不要這樣做, 這是因為TLC快閃記憶體不僅寫入(Program程式設計)速度很慢,
這次比特幣敲詐病毒給我們帶來的教訓是, 隨時安裝系統補丁,