Кто-то попросил меня восстановить данные с ноутбука (Sony Vaio), после форматирования и переустановки Windows (Windows 8).
До этого компьютер работал со сбоями: он зависал при запуске, на экране входа в систему, никогда не доходил до рабочего стола, даже после целого дня. Хозяин попросил отца починить его, что он и сделал, используя процедуру восстановления заводских настроек, поскольку компьютер не отвечал на запросы. Она не сказала ему, что у нее есть личные файлы, которые не были зарезервированы.
Обычно, в таком случае, большинство прежних данных все еще могут быть восстановлены. Я отсканировал весь диск с помощью R-Studio, затем Photorec, но оба уважаемых программного обеспечения для восстановления данных не нашли абсолютно ничего, кроме текущей установки Windows и связанных программ, ни единого следа личных фотографий, которые она, например, хранила на нем ( только найденные изображения являются стоковыми изображениями из Windows или установленного программного обеспечения).
Затем я открыл диск с помощью WinHex, чтобы проверить, не был ли он полностью стерт «низкоуровневым» форматом: но, как ни удивительно, основной раздел был далеко не пустым и казался заполненным, казалось бы, случайными данными. (Так случайный факт , что это не сжимаемой вообще: как испытание, я извлек три порции из 1048576 байт (1 Мбайт), сжимаются их с помощью WinRAR и 7Zip, полученные в результате сжатые файлы были точно такие же размеры, в зависимости от используемого компрессора и немного больше исходного, 1048844 для файлов 7Z, 1048816 для файлов RAR - тогда как даже файлы JPEG или MP3, например, могут быть слегка сжаты, в среднем на 1-2%, несмотря на то, что они уже сильно сжаты.) Его более 400 ГБ, в «свободном пространстве» нет ни одного сектора, который выглядит пустым или с каким-либо узнаваемым рисунком, это действительно озадачивает.
Так что же это может быть? Какое-то шифрование диска? Какой-то вирус, может быть, вымогательская атака? Владелец использует компьютеры на базовом уровне и не помнит, чтобы когда-либо настраивал шифрование любого рода. Возможно, компьютер был продан с уже активированной системой шифрования? Может ли программное обеспечение для обеспечения безопасности (продукт McAfee устанавливается как часть базовой установки) реализовать его, задавая пользователю неопределенный вопрос типа «хотите ли вы защитить свои файлы», вызывая бессмысленное «да»? Если это была атака с использованием вымогателей, то «ГАЧКА!» экран появился бы в какой-то момент, в конце процесса шифрования, верно? Это похоже на известную проблему? Совпадает ли то, что я наблюдаю (непрерывный поток совершенно случайных данных) с тем, как обычно выглядит шифрование? Атакуют ли вымогатели шифрование отдельных файлов или некоторые из них могут шифровать целый раздел? Есть ли какие-нибудь тесты, которые я мог бы сделать в этот момент, чтобы определить, является ли это на самом деле шифрованием и какого типа? Есть ли шанс что-нибудь восстановить на этом этапе?
Я спрашивал об этой странной проблеме с HDDGuru, но не получил много полезных идей:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Эта конкретная проблема решается, начиная с 9-го поста, более ранние посты не актуальны - сначала у меня были сомнения, что сам диск может быть неисправен, но это совершенно нормально.)
Благодарю.
РЕДАКТИРОВАТЬ: Вот снимок экрана R-Studio, показывающий схему разделения полного образа с жесткого диска 500 ГБ этого компьютера. 
Так что есть только один пользовательский раздел, 438GB; остальные являются зарезервированными системными или восстановительными разделами. Только 438GB один полон на первый взгляд случайных или зашифрованных данных. Разделы 301 МБ и 38 ГБ не отображаются WinHex.
Вот скриншот WinHex, показывающий случайные байты вместо свободного места.
