スタートアップ回復手順を使用して Windows (Windows 8) を再インストールした後、ラップトップ コンピューター (Sony Vaio) からデータを回復するように依頼されました。
その前に、コンピューターは故障していました。起動時にログイン画面で停止し、丸一日経ってもデスクトップに到達しませんでした。所有者は父親に修理を依頼し、コンピューターがまったく反応しなくなったため、父親は工場出荷時の状態に戻す手順を使用して修理しました。彼女は、コンピューターにバックアップされていない個人ファイルが入っていることを父親に伝えていませんでした。
通常、このような場合でも、以前のデータのほとんどはまだ回復できます。私はR-Studio、次にPhotorecでドライブ全体をスキャンしましたが、評判の良いデータ回復ソフトウェアの両方で完全に何もない現在の Windows インストールと関連ソフトウェア以外には、たとえば彼女がそこに保存していた個人的な写真の痕跡はまったくありませんでした (見つかった写真は、Windows またはインストールされたソフトウェアからのストック写真のみです)。
次に、WinHexでドライブを開き、「低レベル」フォーマットによって完全に消去されているかどうかを確認しました。しかし、2番目の驚きは、メインパーティションが空ではなく、一見ランダムなデータでいっぱいであるように見えたことです。(実際には非常にランダムなので圧縮できません。まったく: テストとして、1048576 バイト (1MB) のチャンクを 3 つ抽出し、WinRAR と 7Zip で圧縮したところ、圧縮されたファイルは、使用した圧縮ソフトによって異なりますが、ソースよりわずかに大きく、7Z ファイルの場合は 1048844、RAR ファイルの場合は 1048816 になりました。一方、JPEG ファイルや MP3 ファイルでも、すでに高度に圧縮されているにもかかわらず、平均で 1 ~ 2% 程度わずかに圧縮できます。) 400GB 以上ありますが、「空き領域」には空になっているセクターや認識できるパターンが 1 つもありません。これは本当に不可解です。
では、これは何なのでしょうか? 何らかのドライブ暗号化でしょうか? 何らかのウイルス、おそらくランサムウェア攻撃でしょうか? 所有者は基本的なレベルでコンピューターを使用しており、いかなる種類の暗号化も設定した覚えはありません。コンピューターは暗号化システムがすでに有効化された状態で販売された可能性がありますか? セキュリティ ソフトウェア (McAfee 製品は基本インストールの一部としてインストールされます) が、ユーザーに「ファイルを保護しますか?」などの漠然とした質問をして、意味不明な「はい」を返させることで暗号化を実装した可能性がありますか? ランサムウェア攻撃だった場合、暗号化プロセスの最後に「わかった!」画面が表示されるはずですよね? これは既知の問題のように思えますか? 私が観察しているもの (完全にランダムなデータの連続ストリーム) は、暗号化が通常どのように見えるかと一致していますか? ランサムウェア攻撃は個々のファイルを暗号化しますか、それともパーティション全体を暗号化するものはありますか? この時点で、これが実際に暗号化であるかどうか、またその種類がどのようなものかを判断するために実行できるテストはありますか?この時点で何かを回復できる可能性はありますか?
私は HDDGuru でその奇妙な問題について質問しましたが、役に立つ洞察はあまり得られませんでした。
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(この特定の問題は 9 番目の投稿から取り上げられており、それ以前の投稿は関係ありません。最初はドライブ自体に欠陥があるのではないかと疑いましたが、まったく問題ありません。)
ありがとう。
編集: 以下は、コンピューターの 500 GB HDD からの完全なイメージのパーティション スキームを示す R-Studio のスクリーンショットです。
したがって、ユーザー パーティションは 438 GB の 1 つだけです。他のパーティションは予約済みのシステム パーティションまたは回復パーティションです。438 GB のパーティションのみが、一見ランダムまたは暗号化されたデータでいっぱいです。301 MB および 38 GB のパーティションは WinHex では表示されません。
以下は、空き領域ではなくランダムなバイトを表示する WinHex のスクリーンショットです。
答え1
これは Windows 8 のどのバージョンですか?ビットロッカーWindows の暗号化システムです。
BitLockerは、Windows Vistaまたは7 Ultimate、Windows Vistaまたは7 Enterpriseを実行しているマシンを持っている人なら誰でも利用できます。Windows 8.1 Pro、Windows 8.1 Enterprise、または Windows 10 Pro。
そのため、Windows の Pro バージョンが必要ですが、ほとんどの人は個人のラップトップに Home バージョンを持っています。Enterprise は大企業向けです。
BitLocker の代替手段はいくつかありますが、Windows システム ファイルを含むドライブ全体を暗号化できるものは知りません。回復ソフトウェアが Windows システム ファイルしか検出しなかったと書かれていますが、新しいインストールのシステム ファイルのことですか、それとも古いインストールのシステム ファイルを検出するのですか? これは重要な区別です。古いファイルが検出された場合は、ユーザー フォルダーのみが暗号化された可能性があります。また、BitLocker の代替手段はいくつかあります。
ランサムウェアが原因の可能性がありますが、可能性は低いと思います。彼らはファイルを暗号化するだけだと思います。それの方がはるかに簡単ですし、目的も同じです。パーティション全体を暗号化しても、彼らの目的には何の役にも立ちません。彼らは金儲けをしたいので、ファイルを暗号化し、メッセージを送信します。そして、あなたがお金を払えば、復号化するためのキーが手に入ります。彼らは、それ以上あなたのシステムに干渉したくありません。お金を払った後もまだ問題があると知れ渡れば、人々は支払いをやめるかもしれません。それは彼らにとって最善の利益ではありません。
データが重要な場合は、回復操作後であっても、今すぐハードディスクのビット単位のイメージを作成し、そのディスクで作業する必要があります。ラップトップが必要な場合は、ディスクを交換して、Windows 8 または 10 を新規インストールできます。
私は一度 Photorec を使ったことがあります。そのラップトップには Ubuntu がインストールされていましたが、再フォーマットして Windows をインストールした後でも、何百もの画像、Word 文書、何千もの Windows システム ファイルを見つけることができました。