误删除文件磁盘格式化勒索加密数据恢复指南

2019 年 12 月 25 日
筆記

R-Studio这个软件是Windows上运行的可以恢复Windows文件系统和Linux文件系统的绝好软件，我试过了5种以上的恢复软件，就这个软件的效率和结果最好。我先普及一些背景再介绍R-Studio怎么用。

我前些年花过88元买过anedata.com 这家的数据恢复软件，那次我的移动硬盘掉地上了，硬件损伤，在磁盘管理器里只能看到有个盘，但是根本没法对其做任何操作，鼠标一点盘符，移动硬盘指示灯马上就灭了，然后在磁盘管理器里就看不到盘了，重新插拔后用DiskGenius倒是能识别到分区，但是恢复的时候老是卡死，最后我用这家的数据恢复软件搞定了。可是最近去看这个软件，四五年过去了没啥大变化，前些年GPT大盘还没普及，500G、1T的MBR移动硬盘用它还行，现在大于2T的GPT大盘用它的可靠性我不确定，没恢复还破坏了现场就得不偿失了。云上的盘就方便多了，不论大盘、小盘，只要是云盘（非云上的本地盘），就可以打快照保留现场、用快照创建新盘复制一个现场出来。

前不久我把Linux数据盘格式化后想起来里面有我之前写的几个PHP文件，不是那么重要，重写的话又会浪费些时间，我评估了下时间，可以用数据恢复软件试试。Linux文件系统跟Windows的NTFS不一样，格式化后别抱太大希望，一般情况下不可能完整恢复，倒是能找到一些没有原始文件名和目录结构的元数据，但这些数据如果量很大且你不太熟悉自己文件情况的话，鉴别重用就太难了。

Windows格式化后不要做其他任何操作，用恢复软件完全恢复的可能性很大。

我用过很多款数据恢复软件，R-Studio的恢复效果最好（我在网上找的破解版）。我跟数据恢复公司的技术人员做过交流，云上误操作删数据或者格式化磁盘，一般情况下也是用R-Studio这款软件找数据，幸亏我有较丰富的经验，既然他们也用这个软件，那我就省了找数据恢复公司的钱。但是我得郑重提醒下，如果你没有数据恢复经验，千万别乱搞，最怕的就是没搞好还破坏了现场。如果你是云盘、打快照备份了现场，那你用快照创建新盘去练手是没问题的，别删备份现场的那个快照就行，万一你练手失败了，再用快照创建一块新盘继续练，这就是运维行业常说的“回滚”机制。

数据恢复公司用的R-Studio是正版的还是破解版的我没好意思问这么尖锐的问题，反正我看网上破解版的挺多。

我还请教了对方“被加密勒索的文件找数据恢复公司有没有办法”，对方很明确地说要看加密的情况，因为加密原理是在文件头部加密或在整个文件里分段加密。头部加密的话，如果是小文件恢复的可能性不大，大文件的话，可以根据文件本身的特点去构造头部数据，能不能恢复、能恢复多少，要看运气和文件特点。他还提到如果是间断加密的，不论文件大小都没有办法，除非黑客本人，只有他知道加密算法，因此只有黑客本人能反解。

推荐2个网站，可以提交被加密的文件看看加密算法是什么，然后看有没有对应的解决方案，没有的话只能找数据恢复公司分析下文件结构看看有没有运气能恢复出来。

这个网站是让你上传小于1MB的被加密文件确认是如何被加密的，上传文件就知道能不能解密了https://www.nomoreransom.org/crypto-sheriff.php?lang=zh

类似的另一个网站 https://id-ransomware.malwarehunterteam.com/

数据恢复公司的大哥特别跟我提到“中间商赚差价”的情况：某人跟加密勒索的黑客有交情，声称能通过技术手段恢复被加密的数据，被加密勒索的一方觉得直接给黑客给钱没有保障，万一石沉大海了多亏，于是找这个声称能恢复加密数据的人支付数据恢复费用，确实也拿回了数据，这样一传十、十传百，口碑就出去了，后面有加密勒索的都找这个人恢复，实际上这是其生财之道，但不是正道，是歪门邪道。他并不能恢复，他找黑客恢复的，他经常找黑客恢复，黑客给他有优惠，比如打5折，然后他给对方按黑客原价的8折恢复出来，赚差价。常在河边走哪能不湿鞋，最后被警方抓获，以诈骗罪判刑了。

接下来我们学习一些数据恢复注意事项再介绍R-Studio怎么用。

数据恢复过程中最怕被误操作而造成二次破坏

数据丢失后，要严禁往需要恢复的分区里面存新文件

在讲R-Studio怎么用之前，我先说说我用了很多年的DiskGenius吧，这款软件有很多功能都很棒，比如克隆硬盘（硬盘对拷）、克隆分区（磁盘分区对拷）、查找已丢失分区表等。说到对拷，我这里正好有份实践数据，我对250G本地盘对拷到250G高性能云盘，花了3小时02分钟，平均速度182/250=0.728分钟/GB，按[0.8-1]分钟/GB预估，对拷1000G需要[800-1000]分钟，如果是SSD云盘的话，应该会明显快一些。

我没用过付费的DiskGenius专业版，都是网上找的破解版，客观讲，恢复效果没有R-Studio好，并且还发现DiskGenius4.9及其以后的版本有bug：在WebVNC里一运行就卡死，但远程的时候正常。

言归正传，说一下云盘和本地盘两种情况如何恢复数据。

一、云盘

出事后先关机做快照，快照是块设备级别的，相当于硬盘底层对拷，用做的快照创建的盘跟原盘的情况完全一样。

不要破坏原现场、不要破坏原现场、不要破坏原现场。

快照创建OK后，用快照创建一块新盘并保留快照不要删，然后再买一块同样大小的空盘，2块新盘挂到一个全新的Windows2008R2上，然后在2008R2里通过数据恢复软件扫描，扫出文件后先保存扫描结果/进度，以免中途崩溃又得从头来。

快照的好处是你可以同时创建多个相同现场出来，挂载到多个全新的Windows机器上，用不同的数据恢复软件扫描，看谁扫得快，扫出来的结果也可以做比较以查漏补缺验证恢复的可靠性。

这里要特别说明下，扫描的快慢跟机器的CPU、内存以及磁盘介质、数据量多少都有很大关系，如果比较着急，建议用至少4核16G内存的机器进行扫描恢复，别用1核1G的玩人，1G内存够干个屁。

二、本地盘

由于本地盘不支持快照，唯一的办法是买一块相同地区、相同可用区的相同大小的云盘，请云服务商把你本地盘对拷到这块云盘，然后你对云盘做快照，然后其余的事情就跟上面说的一样了。但是对拷本地盘到云盘这种非标操作是不合规的，服务商一般会拒绝，既然是求人办事，就客气点，别老是花10块钱就想一直当上帝，把服务商的后顾之忧先给人家去除掉，即要保证合规操作，你得给人家一个保证书和授权，别有事没事碰瓷，这样谁还敢应承你。我以前在阿里云的时候经常怼工单客服，最后我发现我的工单经常超过3个小时左右甚至更长时间才回复，我猜测可能是被他们打上了“恶意”标签，后来我学乖了，不论遇到多么差的客服我都保持客客气气，并且发现了他们的问题后我都一一指正并给出优化建议来释放我的善意，再后来过了一段时间，我提交工单后平均40分钟左右就响应了，并且还会破天荒地给我打电话，我前些年在阿里云提了七八个工单他们都没主动电话过。如此看，与人为善、与己为善，求人办事得有求人办事的态度，不能光是撒泼打滚充上帝。

三、R-Studio使用过程

如果是Linux EXT3、EXT4的文件系统，可以在Windows服务器里安装个能识别EXT文件系统的软件ext2fsd

ext2fsd下载地址：https://nchc.dl.sourceforge.net/project/ext2fsd/Ext2fsd/0.69/Ext2Fsd-0.69.exe

下载地址是从ext2fsd官网一步步找过去的

官网链接：https://www.ext2fsd.com/?page_id=16

如果下载地址和官网链接变了，直接访问官网域名ext2fsd.com 去找新的下载地址

R-Studio的下载地址这里不提供，你自己去网上找一个吧。