L'ultima spiaggia per tentare almeno in parte il recupero dei dati da supporti colpiti dai Virus Ransomware, è la Ns. tecnica Signature Seeking. Questa tecnica scansiona la parte dell’area dati del disco rigido che non risulta sovrascritta e recupera predefiniti tipi di files, raggruppandoli per estensione, (Es: .JPG, .XLS, .DOC, .XLSX, .DOCX, MDB, Ecc…). Non sarà però possibile recuperare nome e posizione originaria del file e, non essendoci un File System di riferimento, non sarà neanche possibile eseguire un controllo automatico di validità. La tecnica descritta permette comunque di raggiungere ottimi risultati soprattutto se la parte di capacità utilizzata del disco rigido, è inferiore al 50% rispetto alla capacità complessiva. Segue esempio :

Quanto sopra descritto rappresenta esclusivamente un’ipotesi, e sfrutta la particolarità dei sistemi operativi di non scrivere sequenzialmente i files ma di allocarli in zone differenti dell’area dati. Ad esempio, se qualche files sovrascritto dal Virus, in precedenza era anche presente in allocazioni dell’area dati differenti dall’ultima posizione (Es : il file è stato spostato da una cartella all’altra), è possibile che venga recuperato integro. Ovviamente per avere la certezza se i files sono o meno recuperabili, è necessario eseguire la fase di Diagnostica.