2. 使用数据恢复软件恢复出来的数据也是WNCRYT格式的文件。可以使用工具查看文件头信息。 图2中可以看到8.WNCRYT文件的真实文件类型是docx文件。

图2：WNCRYT文件的真实文件类型是docx文件

　　3. 可以直接重命名文件格式， 就可以恢复该文件。但是原始文件名是无法恢复的。

图3：重命名文件格式可恢复文件

　　实验三

　　使用病毒样本感染测试机， 然后尝试使用数据恢复软件恢复D盘和E盘文件。测试步骤和结果如下：

在磁盘有空余的情况下， 几乎能100%恢复数据。

在磁盘满的情况下， 只有部分文件被加密。很多原文件直接被保留在磁盘上。

　　正确选择数据恢复顺序

　　为了保证测试的准确有效，亚信安全技术支持中心测试了两个操作系统、若干病毒样本，多种数据恢复软件，测试结果一致。结论如下：

桌面文件无法恢复。

系统盘文件可部分恢复，但恢复难度较大。

其他盘符内的文件容易被恢复，且被恢复的可能性较大。

　　WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件，利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。在提醒用户及时安装相关补丁和网络安全软件、开启防火墙封堵网络端口的同时，亚信安全经过上述实验，建议受到WannaCry感染的客户，请优先恢复D，E等其他盘符内的文件，对系统盘内的文件用户请选择性恢复。