最近WannaCry敲诈者病毒来势汹汹，中招的用户电脑全盘资料文件被恶意加密，必须交付赎金才能解密文件。而赎金为比特币形式交付，问题是最近比特币涨的让人吃惊啊!所以各位记得重要资料离线备份啊!如何防范WannaCry敲诈者，可以查看小编的另一篇文章。本文我们来看看如果不幸中招，我们如何尝试恢复被恶意加密的资料文件。

图1 WannaCry病毒

昨晚，在测试病毒的时候，小编就发觉一个奇怪的现象，在WannaCry未完成加密时，被加密文件目录下出现了原文件与被加密后的文件共存现象，待WannaCry病毒加密完毕后，资料原文件就不见了，应该是给删除了。

图2 原文件与加密后文件并存的短暂时间

WannaCry敲诈者病毒加密后的文件能恢复么?实测一下

如果原文件只是给简单做了删除操作，那么我们就有了恢复原文件的希望。但如果病毒在删除文件时，做了“清除”文件操作，也就是在删除文件后用随机数据填充被删除文件所在存储地址，那就没多少希望进行数据恢复了。

不管如何，咱来实测一下。

首先，在测试机的D盘上放上测试目录“手机qq7.0”，里边包含了图片类型文件与文本文件与office文档，共计文件30个。

图3 测试文件夹内容

接着小编在测试机上运行WannaCry病毒(请勿模仿，资料数据文件灰飞烟灭可不是闹着玩的)，过了一会，测试文件夹的资料文件就给恶意加密了。

图4 测试文件夹里的资料全部被恶意加密

接着，小编安装了一款数据恢复软件，尝试对被删除的原文件进行恢复操作。

图5 启动数据恢复软件

测试结果让小编吃惊，竟然成功的找到了被病毒删除的原文件，赶紧的尝试恢复操作。

结果就是，小编成功地恢复了被病毒删除的原文件。

图8 成功恢复原文件

测试到此，可以庆幸的是，WannaCry病毒并没有对原文件进行清除操作。不过有研究人员说WannaCry病毒会对资料原文件进行清除操作，难道需要更多的等候时间病毒才能完成清除操作?难道是新变种?需要注意的是，这个方法并不是解密被病毒加密的文件，被病毒加密的文件采用了高强度加密方式，没有病毒作者手里的密钥，破解几率渺茫。

(更新，有研究表明，该病毒对小于1.5M的文件才进行了全部加密，对于大于1.5M的文件采用的是非高强度加密方式，可能是病毒作者为了加快加密速度所设置的，本文也将介绍一下大于1.5M的文件的恢复方法，你也可以尝试一下，具体方法请往下看)。