作者 diji777 (世界流浪漢)標題 Re: [救援] 有高手可以幫我們進行資料救援嗎?時間 Sun Mar 22 00:30:57 2026
※ 引述《blue0413 (比爾林)》之銘言:
: 大家好
: 我們這裡是微型身障團體(視障家長協會),
: 今天發現我們的公用區電腦中了勒索病毒,
: 檔命後方出現 .want.to.cry
: 裡面許多的資料都毀損,
: 要命的是我們這些資料都沒有備份,
: 在這裡想找有沒有高手可以幫我們資料救援,
: 我們願意花錢聘請協助救援,
: 意者煩請私信給我,謝謝!
回應各路鄉民跟酸民
當事人所謂的公用區其實是網芳開啟的電腦 開啟網芳給其他台用
由於某種不明原因更新後其他電腦連不上, 所以該單位的電腦維護直接關Windows Update
病毒入侵時間為發文當日 08:36分, 在下午1:30分左右加密完成
(以上是i3-10100的實力, 加上硬碟壞軌跟冷資料buff)
當事人發現到檔案無法打開之後, 處理方式是關機 (錯過第一次黃金救援時間)
(內心OS 心已涼半截)
--------- (我叫分割線)
當事人主機為華碩商用電腦帶Windows 10 Pro, i3-10100+8G DDR4
拆機看到配置為 2.5" 250G SATA SSD (WD BLUE WDS250G2B0A, retail)
2.5" 1TB SATA HDD (WD10SPZX OEM, 可能是與筆電大量採購留下的)
(以上有疑慮點, WD SSD是查序號得知零售版本, 原nvme插槽的硬碟不見了!!)
用創見的2.5"轉3.5"支架裝在電腦上
資料救援部份
該台電腦有防毒軟體, wannacry的tesk都被刪除
SSD主控為 marvell 88S1074 未與顆粒加密 (還好有料版)
Dump資料參考小飛機修澤石的硬碟, 載入澤石無加密韌體
讀顆粒未被trim的部份撈回一些tesk 但是沒有mft表, 只能土法煉鋼找tesk跟讀顆粒
至於存網芳資料的HDD, 剛讀下去就只剩0.6-10M/s 一直出05 C5
硬幹一晚上換磁頭clone (打壞三個) 到我的配件硬碟上
失去tesk跟mft表的硬碟用recuva簡單的做法撈不出來 (參考版友提供巴哈資料)
目前是用PC3000讀底層 讀到300G左右的底層資料, 用i5-11400 AVX512
暴力算跟暴力找被病毒刪除的未加密檔案
參考資料:
http://roger6.blogspot.com/2017/06/wannacry-analyze-5.html
https://www.cs.utep.edu/CFIA/files/outreach/WannaCryKeyRecovery/
WannaCryKeyRecovery_Exercise.pdf
撈出300GB可讀取寫入的MS Office檔案
由於沒有mft表, 檔案名稱無法定義, 只知道能看到2023-2025的資料,
可讀寫的MS office file, 目前待當事人確認
去過該協會真的一窮二白, 在那邊找到一台G31跟AM3 785G的套裝電腦
硬碟皆已壞軌, 主機狀況未知 (沒空測)
目前已失去的東西有 WD 250G SSD (拆過焊過不敢給一般人用)
WD 1TB HDD (已經打開過)
考慮做法:
找有UEFI的版子 (intel H61以上) 自組TrueNAS/ FreeNAS/ 黑群暉之類..
至少 Linux based/ FreeBSD based 不會受到WannaCry攻擊
或是當事者願意花錢買成品NAS, 用辦公電腦開網芳又關Windows Update真的還會再出事
以上是36小時+++不睡撈出來的亂七八糟成果,
如果有高人指點比對撈出檔案與中毒檔案可以提供參考資料或協助
-------------(我又是分隔線)
拋磚引玉: 我跟該協會只收取車馬費 (畢竟來回500KM)
免收工錢跟配件費
希望其他版友有垃圾出垃圾 XD
撿垃圾環節
240-256G m.2 or SATA SSD (重做系統, Dramless跟QLC沒差, 一日寫入量約10G內)
2TB HDD, SMR/CMR不拘 (ironwolf or skyhawk 4T 都要 4990以上)
該台電腦有四條DDR4插槽, 可以收DDR4 2400單條4G*3 補滿 8G跑Win11 25H2真的有拼
32G+ msata/sata SSD + 4TB HDD (我自己有多的ST4000VX016, 還需要湊raid6)
或是有多的ST1000DM003/010 (缺TLER指令) or DT01ACA100 7K.1000B/C/D (有TLER)
有UEFI BIOS主機板 DDR3就可 (intel H61就可, 自組nas用)
我自己會捐8G DDR3, PCI-E轉SATA卡, 1150/1155 CPU XD
or 2TB+ USB外接硬碟 (如果對方分享器有USB port/samba功能, 目前未知)
以上, 做而言不如起而行, 回應對我有疑慮的版友.
也歡迎各路高手技術交流 至少是幫社福團體做好事 :D
---------------- (分割線 募資集中區)
推 bust222: 我有一台群暉的老nas ds916+沒在用的 很新 d大用得d大沒事 就說信任你了 需要的話我這裡還有閒置的螢幕 新鍵盤滑鼠 本來也打算捐掉的 你就一起拿去吧
事 總比我放著吃灰好 我記得裡面好像是2t*4就是了03/23 08:21
私信的 leolarrel版友 Intel 250G SSD (已寄出)
nightwind209 版友 B75M-A + DDR3 8G*2 + 120G SSD
(主機板有記憶體相容性問題不容易斷電重開, 我將自取後debug)
我能自己掏的 Acer X1440低功耗小主機 AMD E1-1200 TDP 18W
(UEFI bios 前身是解bitlocker加密用料版 效能可能只能當DAS用)
i3-3225 (黑蘋果拔下來的) or i5-2320
協會原本有的: ASUS CM1730 (power故障, HDD壞軌, 沒UEFI bios, 4*ddr3 slot)
現在檢查有沒有暗病, CPU是 Athlon X2 250
Acer G31平台 + C2D E4700 + 2G ram (這台要留嗎 @___@)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.191.115 (臺灣)
※ 作者: diji777 2026-03-22 00:30:57
※ 文章代碼(AID): #1fliV5kL (Storage_Zone)
※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1774110661.A.B95.html
→ spfy: 原來還能這樣救阿....3F 03/22 09:09
推 jyhfang: 推 這難度也未免太高 真的是buff疊滿4F 03/22 09:13
推 blue0413: 淚推與大大感謝D大熱血救援!7F 03/22 11:12
推 lolicat: 佛 但太麻煩 真的自己遇到只能換掉硬碟了吧11F 03/22 14:16
首頁 | 台北市視障者家長協會
「生活無礙、教育無礙、資訊無礙、就業無礙」的全方位的視障者 支持機構,創辦視障幼兒、視障學生、中途失明者、視障就業等的 視障服務體系。陪伴視障家庭面對層層困境,支持他們成長茁壯 ;凝聚微光,照亮視障者人生的道路。 ...
→ diji777: 修文內容: 原300MB手誤打錯, 是300GB
另外終於發現11代 i5 i7的AVX512多值錢 XD
大概打撈速度是原本的i5-5675C 5倍速 XD17F 03/22 15:10
※ 編輯: diji777 (112.104.191.115 臺灣), 03/22/2026 16:02:26
→ diji777: @lolicat 不是很重要的我會棄修, 真的很費工
@jyhfang 是真的很硬 比石頭還硬 但努力還是有收獲至於怎麼處理的不知道有沒有youtuber乾爹乾媽
我可以拍片演示一次操作 XD20F 03/22 16:05
→ diji777: 再這樣搞下去女友都要跟人跑惹 XD33F 03/22 22:04
推 ouka: 推好人34F 03/22 22:21
→ diji777: 謝謝各位, 如果有不要淘汰的配件我在這募資36F 03/22 22:23
→ diji777: 買一個甜蜜點的4T HDD + 512G SSD就要破6000 QQ
後記 我clone完整byte到一個含seagate rescue HDD來對Seagate考試 如果能撈到一樣成果證明有效XD
歡迎seagate葉佩雯小姐與我聯絡 :D38F 03/22 22:25
推 rexct: 推熱心高手42F 03/23 00:46
※ 編輯: diji777 (112.104.191.115 臺灣), 03/23/2026 01:59:56
推 Prokennex: 沒想過這個版也出現令人感到溫馨的時候44F 03/23 02:59
推 cocota: 推推好心d大45F 03/23 06:45
推 poo22: 可以給協會捐款 指定給D大維修嗎?46F 03/23 07:10
推 bust222: 我有一台群暉的老nas ds916+沒在用的 很新 d大用得到嗎?台灣好人越來越少了 看到d大這麼熱血也想來共襄盛舉一下
只是在台北市的協會 怎麼會窮成這樣 真的很難想像47F 03/23 08:21
推 chang0206: 熱心推一個 不過,就算是NAS碰到這種也沒輒吧52F 03/23 10:03
推 USD5566: 看吧 實際動手維護 > 貼論文 是不是早就說了 (^▽^ )53F 03/23 12:21
→ diji777: @poo22 歡迎給協會捐款, 至於怎麼用就不需要指定
@bust222 這台NAS很貴耶, 還要募到4顆硬碟 XD
你要確定喔!!!
@USD5566 協會本來考慮到我路途遙遠 未打算找我
是因為台北找不到人所以發生的隔天才找我 :)
@chang0206 NAS的話是Linux or FreeBSD based
wannacry攻擊的漏洞是MS Windows, NAS至少能擋一堆@poo22 捐款事宜可聯絡原po, 我不敢碰金錢關係 XD實現諾言, 我把raid陣列中的一顆ST4000VX016
與原本硬碟mirror逐一bit clone
去Seagate申請 rescue+ 靜候30工作天看結果55F 03/23 12:30
推 bust222: 沒事d大 話說出口了 如果他們真的用得到的話當做善事 總比我放著吃灰好 我記得裡面好像是2t*4就是了因為我也沒去過那個協會 你評估看看 如果他們真的用得到nas的話你聯絡我 我拿出來整理一下 看你什麼時候北上時間約好順便來找我拿載去台北就好 這台現在殘值也沒很高 真的沒差 只是現在掛羊頭賣狗肉的慈善機構太多 如果要捐當然也要捐給真的需要的 所以我上面才會覺得奇怪 在台北市的怎麼會一窮二白...總之就信任你 交給你了66F 03/23 13:25
→ diji777: @bust222 我私信給你地址, 你可以看現場環境
他們連2004年買的15" LCD都還在用 金價夭壽75F 03/23 13:44
→ bust222: d大沒事 就說信任你了 需要的話我這裡還有閒置的螢幕 新鍵盤滑鼠 本來也打算捐掉的 你就一起拿去吧
只是不知道你什麼時候要上來 再站內聊77F 03/23 13:55
→ diji777: @bust222 可以與我站內信或聯絡原po看辦公室環境
至於什麼時候上去還等待救援資料驗收跟找配件重灌我的想法是以一般90%普通文書作業使用者
有NAS, DAS, External HDD 就能做到321備份
也不會工作電腦開網芳又關Windows Update這種危險事至少NAS DAS不要在公網底下, Linux or FreeBSD
不容易受到攻擊80F 03/23 14:00
推 bin12: 推 熱心87F 03/23 14:23
→ diji777: 更新進度 mft表用1-2K的速度重建出部份 希望更高
修文更新: 募到配件集中跟需要的東西更新88F 03/23 17:18
※ 編輯: diji777 (112.104.191.115 臺灣), 03/23/2026 18:23:32
--