Jemand hat mich gebeten, nach einer Windows-Neuinstallation (Windows 8) Daten von einem Laptop (Sony Vaio) über die Startwiederherstellungsprozedur wiederherzustellen.
Davor gab es Funktionsstörungen am Computer: Er blieb beim Start hängen, beim Anmeldebildschirm, erreichte nie den Desktop, auch nicht nach einem ganzen Tag. Die Besitzerin bat ihren Vater, das Problem zu beheben, was er mithilfe der Werkswiederherstellung tat, da der Computer überhaupt nicht reagierte. Sie hatte ihm nicht gesagt, dass sie persönliche Dateien darauf hatte, die nicht gesichert waren.
Normalerweise können in einem solchen Fall die meisten der alten Daten noch wiederhergestellt werden. Ich habe das gesamte Laufwerk mit R-Studio und dann mit Photorec gescannt, aber beide seriösen Datenrettungsprogramme fanden absolutNichtsAußer der aktuellen Windows-Installation und der zugehörigen Software fehlt beispielsweise jede Spur der persönlichen Bilder, die sie darauf gespeichert hatte (es wurden lediglich Archivbilder von Windows oder der installierten Software gefunden).
Dann öffnete ich das Laufwerk mit WinHex, um zu sehen, ob es durch eine „Low-Level“-Formatierung vollständig gelöscht worden war: aber, zweite Überraschung, die Hauptpartition war alles andere als leer und schien voller scheinbar zufälliger Daten zu sein. (So zufällig, dass sie nicht komprimierbar sind.)überhaupt: Als Test habe ich drei Blöcke von 1048576 Bytes (1 MB) extrahiert und sie mit WinRAR und 7Zip komprimiert. Die resultierenden komprimierten Dateien hatten je nach verwendetem Kompressor genau die gleiche Größe und waren etwas größer als die Quelle, 1048844 für die 7Z-Dateien, 1048816 für die RAR-Dateien – wobei sogar JPEG- oder MP3-Dateien beispielsweise leicht komprimiert werden können, im Durchschnitt um 1–2 %, obwohl sie bereits stark komprimiert sind.) Es sind mehr als 400 GB davon, es gibt keinen einzigen Sektor im „freien Speicherplatz“, der leer erscheint oder ein erkennbares Muster aufweist, das ist wirklich rätselhaft.
Was kann es also sein? Eine Art Laufwerkverschlüsselung? Eine Art Virus, vielleicht ein Ransomware-Angriff? Der Besitzer verwendet Computer auf grundlegender Ebene und kann sich nicht erinnern, jemals eine Verschlüsselung irgendeiner Art eingerichtet zu haben. Könnte der Computer mit einem bereits aktivierten Verschlüsselungssystem verkauft worden sein? Könnte eine Sicherheitssoftware (ein McAfee-Produkt ist als Teil der Basisinstallation installiert) es implementiert haben, indem sie dem Benutzer eine vage Frage wie „Möchten Sie Ihre Dateien schützen?“ stellte und ein ahnungsloses „Ja“ hervorrief? Wenn es ein Ransomware-Angriff gewesen wäre, wäre irgendwann am Ende des Verschlüsselungsprozesses ein „Ertappt!“-Bildschirm erschienen, oder? Klingt das nach einem bekannten Problem? Ist das, was ich beobachte (ein kontinuierlicher Strom völlig zufälliger Daten), konsistent mit dem, wie Verschlüsselung normalerweise aussieht? Verschlüsseln Ransomware-Angriffe einzelne Dateien oder können einige von ihnen eine ganze Partition verschlüsseln? Gibt es einige Tests, die ich an dieser Stelle durchführen könnte, um festzustellen, ob es sich tatsächlich um eine Verschlüsselung handelt und um welche Art davon? Besteht zu diesem Zeitpunkt überhaupt eine Chance, etwas wiederherzustellen?
Ich habe bei HDDGuru nach diesem seltsamen Problem gefragt, aber nicht viele nützliche Informationen erhalten:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Dieses spezielle Problem wird ab dem 9. Beitrag behandelt, die früheren Beiträge sind nicht relevant – zuerst hatte ich Zweifel, dass das Laufwerk selbst defekt sein könnte, aber es ist völlig in Ordnung.)
Danke.
BEARBEITEN: Hier ist ein Screenshot von R-Studio, der das Partitionierungsschema eines vollständigen Images von der 500 GB großen Festplatte dieses Computers zeigt. Es gibt also nur eine Benutzerpartition, die 438 GB große; die anderen sind reservierte System- oder Wiederherstellungspartitionen. Nur die 438 GB große Partition ist voller scheinbar zufälliger oder verschlüsselter Daten. Die 301 MB- und 38 GB-Partitionen werden von WinHex nicht angezeigt.
Hier ist ein Screenshot von WinHex, der zufällige Bytes anstelle von freiem Speicherplatz zeigt.
Antwort1
Welche Version von Windows 8 ist das?Bitlockerist das Windows-Verschlüsselungssystem:
BitLocker ist für jeden verfügbar, der einen Rechner mit Windows Vista oder 7 Ultimate, Windows Vista oder 7 Enterprise hat,Windows 8.1 Pro, Windows 8.1 Enterpriseoder Windows 10 Pro.
Sie benötigen also eine Pro-Version von Windows und die meisten Leute haben eine Home-Version auf ihrem privaten Laptop. Enterprise ist für große Unternehmen gedacht.
Es gibt mehrere Alternativen zu Bitlocker, aber ich kenne keine, die ein ganzes Laufwerk inklusive der Windows-Systemdateien verschlüsseln kann. Du schreibst, dass die Wiederherstellungssoftware nur Windows-Systemdateien gefunden hat. Meinst du die Systemdateien der neuen Installation oder findet sie auch Systemdateien der alten Installation? Das ist ein wichtiger Unterschied. Wenn sie alte Dateien gefunden hat, bedeutet das, dass vielleicht nur die Benutzerordner verschlüsselt wurden. Und dann gibt es mehrere Alternativen zu Bitlocker.
Ransomware ist eine mögliche Erklärung, aber ich halte sie für unwahrscheinlich. Ich glaube, sie verschlüsseln nur Dateien. Das ist viel einfacher und das Ziel ist dasselbe. Die Verschlüsselung einer kompletten Partition trägt nichts zu ihrem Ziel bei. Sie wollen Geld verdienen, also verschlüsseln sie Dateien, schicken Ihnen dann eine Nachricht und nach der Zahlung erhalten Sie einen Schlüssel zum Entschlüsseln. Mehr wollen sie nicht in Ihr System eingreifen. Wenn sich herumspricht, dass Sie nach der Zahlung immer noch Probleme haben, könnten die Leute aufhören zu zahlen, und das ist nicht in ihrem besten Interesse.
Wenn die Daten wichtig sind, sollten Sie ein Bit-für-Bit-Image der Festplatte erstellen, so wie sie ist, jetzt, auch nach der Wiederherstellungsaktion, und dann auf dieser Festplatte arbeiten. Wenn sie den Laptop braucht, können Sie die Festplatte austauschen und eine Neuinstallation von Windows 8 oder 10 durchführen.
Ich habe Photorec einmal verwendet. Auf diesem Laptop war Ubuntu installiert und nach der Neuformatierung und Installation von Windows konnte ich immer noch Hunderte Bilder, Word-Dokumente und Tausende von Windows-Systemdateien finden.