我觉得，现实中缺少一个孜孜不倦科普的“教育者”。
网上有很多教程，但往往各种 copy，良莠不齐，谣言和伪技巧泛滥。
用户相信乱七八糟的教程是用户自己的不对，但是难道就没有办法改变这个现状么？

另外，对于联想等预装 bloatware 的 PC 制造商，他们甚至装过 SuperFish 之类个软件……本来他们在小白面前应该扮演权威的角色，但实际上还在干这种事……我觉得用户相信乱七八糟的教程，各大预装 bloatware 的制造商也得反思一下吧。

@YanwenSun 不是开了 BitLocker 会加密整个分区，然后 hiberfil.sys 和 pagefile.sys 如果在被加密的分区就会被顺带加密么……除此之外还会有什么情况会加密它们？

@Livid 虽然现在主要讨论的是 Windows，但是勒索软件在其他系统上也存在，dump 内存的思路应该也是通用的，也许可以再移动一下？

@wevsty 从内存 dump 里找密钥可能的确很难，可能是知乎的答案让我产生了分析病毒这件事不难做的错觉……
不过，如果受害者中的是流行的勒索病毒，样本相似性很高，甚至大家中的都是一样的，那分析成本可能摊到每个受害者身上就不多了？

@wevsty
稍微搜了一下，好像又找到支持休眠的消息了:
https://superuser.com/questions/746290/what-happen-if-we-reduce-the-size-of-hiberfil-sys
看上去就算 hiberfil.sys 不够大，也只会休眠失败，而不会撑大这个文件？
果真如此的话，休眠的坏处好像仅仅剩下腹黑变态的勒索作者可能做出撕票之类针对性报复行为了吧——但受害者一方也不是完全没办法吧，安全专家会逆向病毒样本，那么说不定还有机会把病毒作者的小花招干掉？

@wevsty
刚刚回复得有点急……可能我说的有点缺乏逻辑。
刚刚稍微缕了一下思路:
我一开始以为休眠不会造成坏影响——反驳:hiberfil.sys 可能伸缩，然后就可能吃掉原本有希望恢复的文件。
我认为休眠可以增加获救概率——反驳:根据最初的分析，通过数据恢复途径“自救”更有价值。休眠反倒可能阻碍数据恢复。
可能安全专家们的确缺失了 CryptReleaseContext 的一些犄角旮旯的知识，也可能他们虽然知道这些知识，但害怕复杂的语言影响传播，所以最终还是选择放弃宣传内存 dump 这条路。
过了那么多天才出现搜索质数的自救方案，只能说遗憾。

@reizen 拍脑袋想一下:病毒可能会直接尝试覆盖原文件，而不是创建新文件。为啥 WanaCrypt 没这么做我就不懂了。

@wevsty Win8 起，因为快速启动，开了休眠的人应该挺多的。但 hiberfil.sys 如果“伸缩”了，可能的确会覆盖掉本来有希望恢复的数据。

@wevsty
1.我记得 hiberfil.sys 不是提前占过空间的吗，这样应该不会影响数据恢复啊……看样子我可能确实姿势水平不够。
2.我也没说一定能找回来，现在提这个看上去确实很马后炮，不过我还是觉得，想办法 dump 出内存可以提升获救的概率——就是赌一把。
3.原谅我的姿势水平不足……我只是看过主贴那篇分析文章而已，看得还不仔细，但我记得作者说过勒索作者没犯错来着……
4.我觉得除非碰到腹黑变态的勒索制造者，休眠操作可以阻止病毒继续运行传播，而且好像不会比拉电源有太多显著的坏处(不知道对不对)。

@SuujonH 欧洲刑警组织都在 Twitter 上转发了，这玩意已经不是技术宅限定了吧。
不过我想说的是为啥各大安全厂商不建议大家想办法 dump 内存，明明 dump 下来可以增加完全恢复概率的。

@binghe 广告而已

LZ 猜测安全专家可能没想到微软的 Crypto API 居然没有清除掉内存中的质数，所以他们才没考虑 dump 内存的方法。
如果让 LZ 继续脑补，就是“阴谋论”了:如果 dump 内存的方法被广泛传播，潜在的勒索软件受害者可能未必把这条信息当回事，但勒索软件制造者倒是很可能在意这条信息，并开始思考如何应对内存 dump。所以，大家决定保持沉默，不把 dump 内存作为首选方法推广。更不用说通过休眠 dump 内存实际上是有“睡死”失败风险的……而且，病毒已经掌握机器控制权，什么都有可能发生，说不定检测到受害者想利用弱点进行破解，就直接撕票(比如删除私钥)。

@GNiux wanawiki 打错，应该是 wanakiwi

@GNiux 我说的不是这个思路。实际上，运行 360 的恢复工具 2.0 会直接干掉病毒的 tasksche.exe，然后 LZ 主帖说的工具 wanawiki 应该就不能工作了。

@gamexg 不过这个误删恢复的思路和本贴无关

@gamexg 就是有文件没被写 0 才有可能恢复啊。有一部分的确是被写 0 了，没救了。

@JJaicmkmy 但是断电是救不回已经加密的文件的。

@JJaicmkmy 这个早就确证了……应该有不少人手动验证过。360 不就出了恢复工具。

继续事后诸葛亮:
WanaCrypt 并没有重启的行为，休眠也同样可以阻止病毒继续运行传播，操作也相对简单，LZ 不知道为啥没看到安全厂商推荐大家休眠。
按理说专家集体犯错的可能性应该接近 0，那应该是出于某种考虑才没这么做。