1

Кто-то попросил меня восстановить данные с ноутбука (Sony Vaio), после форматирования и переустановки Windows (Windows 8).

До этого компьютер работал со сбоями: он зависал при запуске, на экране входа в систему, никогда не доходил до рабочего стола, даже после целого дня. Хозяин попросил отца починить его, что он и сделал, используя процедуру восстановления заводских настроек, поскольку компьютер не отвечал на запросы. Она не сказала ему, что у нее есть личные файлы, которые не были зарезервированы.

Обычно, в таком случае, большинство прежних данных все еще могут быть восстановлены. Я отсканировал весь диск с помощью R-Studio, затем Photorec, но оба уважаемых программного обеспечения для восстановления данных не нашли абсолютно ничего, кроме текущей установки Windows и связанных программ, ни единого следа личных фотографий, которые она, например, хранила на нем ( только найденные изображения являются стоковыми изображениями из Windows или установленного программного обеспечения).

Затем я открыл диск с помощью WinHex, чтобы проверить, не был ли он полностью стерт «низкоуровневым» форматом: но, как ни удивительно, основной раздел был далеко не пустым и казался заполненным, казалось бы, случайными данными. (Так случайный факт , что это не сжимаемой вообще: как испытание, я извлек три порции из 1048576 байт (1 Мбайт), сжимаются их с помощью WinRAR и 7Zip, полученные в результате сжатые файлы были точно такие же размеры, в зависимости от используемого компрессора и немного больше исходного, 1048844 для файлов 7Z, 1048816 для файлов RAR - тогда как даже файлы JPEG или MP3, например, могут быть слегка сжаты, в среднем на 1-2%, несмотря на то, что они уже сильно сжаты.) Его более 400 ГБ, в «свободном пространстве» нет ни одного сектора, который выглядит пустым или с каким-либо узнаваемым рисунком, это действительно озадачивает.

Так что же это может быть? Какое-то шифрование диска? Какой-то вирус, может быть, вымогательская атака? Владелец использует компьютеры на базовом уровне и не помнит, чтобы когда-либо настраивал шифрование любого рода. Возможно, компьютер был продан с уже активированной системой шифрования? Может ли программное обеспечение для обеспечения безопасности (продукт McAfee устанавливается как часть базовой установки) реализовать его, задавая пользователю неопределенный вопрос типа «хотите ли вы защитить свои файлы», вызывая бессмысленное «да»? Если это была атака с использованием вымогателей, то «ГАЧКА!» экран появился бы в какой-то момент, в конце процесса шифрования, верно? Это похоже на известную проблему? Совпадает ли то, что я наблюдаю (непрерывный поток совершенно случайных данных) с тем, как обычно выглядит шифрование? Атакуют ли вымогатели шифрование отдельных файлов или некоторые из них могут шифровать целый раздел? Есть ли какие-нибудь тесты, которые я мог бы сделать в этот момент, чтобы определить, является ли это на самом деле шифрованием и какого типа? Есть ли шанс что-нибудь восстановить на этом этапе?

Я спрашивал об этой странной проблеме с HDDGuru, но не получил много полезных идей:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Эта конкретная проблема решается, начиная с 9-го поста, более ранние посты не актуальны - сначала у меня были сомнения, что сам диск может быть неисправен, но это совершенно нормально.)

Благодарю.


РЕДАКТИРОВАТЬ: Вот снимок экрана R-Studio, показывающий схему разделения полного образа с жесткого диска 500 ГБ этого компьютера. Так что есть только один пользовательский раздел, 438GB; остальные являются зарезервированными системными или восстановительными разделами. Только 438GB один полон на первый взгляд случайных или зашифрованных данных. Разделы 301 МБ и 38 ГБ не отображаются WinHex.

Вот скриншот WinHex, показывающий случайные байты вместо свободного места.

1 ответ1

0

Какая версия Windows 8 это? Битлокер - это система шифрования Windows:

BitLocker доступен всем, у кого есть машина под управлением Windows Vista или 7 Ultimate, Windows Vista или 7 Enterprise, Windows 8.1 Pro, Windows 8.1 Enterprise или Windows 10 Pro.

Итак, вам нужна Pro-версия Windows, и у большинства людей есть домашняя версия на их персональном ноутбуке. Предприятие для большого бизнеса.

Существует несколько альтернатив BitLocker, но я не знаю ни одной, которая могла бы зашифровать весь диск, включая системные файлы Windows. Вы пишете, что программа восстановления не нашла ничего, кроме системных файлов Windows. Вы имеете в виду системные файлы из новой установки, или он находит системные файлы из старой установки? Это важное различие. Если он обнаружил старые файлы, это означает, что, возможно, были зашифрованы только пользовательские папки. И тогда есть несколько альтернатив Bitlocker.

Ransomware - возможное объяснение, но я не нахожу это вероятным. Я думаю, что они только шифруют файлы. Это намного проще сделать, и цель та же. Шифрование полного раздела ничего не добавляет к их цели. Они хотят зарабатывать деньги, поэтому они шифруют файлы, затем отправляют вам сообщение, и после оплаты вы получаете ключ для расшифровки. Они больше не хотят связываться с вашей системой. Если выясняется, что после оплаты у вас все еще есть проблемы, люди могут перестать платить, и это не в их интересах.

Если данные важны, вы должны сделать битовый образ жесткого диска таким, какой он есть, прямо сейчас, даже после действия восстановления, затем поработать на этом диске. Если ей нужен ноутбук, вы можете заменить диск и выполнить новую установку Windows 8 или 10.

Я использовал Photorec один раз. На этом ноутбуке была установлена Ubuntu, и после переформатирования и установки Windows я все же смог найти сотни изображений, текстовые документы и тысячи системных файлов Windows.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .