Alguien me pidió que recuperara datos de una computadora portátil (Sony Vaio), después de reinstalar Windows (Windows 8) mediante el procedimiento de recuperación de inicio.
Antes de eso, la computadora no funcionaba correctamente: se atascaba al iniciar, en la pantalla de inicio de sesión, nunca llegaba al escritorio, incluso después de un día entero. El propietario le pidió a su padre que lo arreglara, lo cual hizo mediante el procedimiento de restauración de fábrica, ya que la computadora no respondía por completo. Ella no le había dicho que tenía archivos personales de los que no tenía copia de seguridad.
Normalmente, en tal caso, la mayoría de los datos anteriores todavía se pueden recuperar. Escaneé todo el disco con R-Studio y luego con Photorec, pero ambos softwares de recuperación de datos de buena reputación encontraron absolutamentenadaMás allá de la instalación actual de Windows y los softwares asociados, ni un solo rastro de las fotografías personales que ella había almacenado en él, por ejemplo (las únicas fotografías encontradas son fotografías de archivo de Windows o de los softwares instalados).
Luego abrí el disco con WinHex para ver si había sido completamente borrado por un formato de “bajo nivel”: pero, segunda sorpresa, la partición principal estaba lejos de estar vacía y parecía llena de datos aparentemente aleatorios. (De hecho, es tan aleatorio que no es comprimibleen absoluto: como prueba, extraje tres fragmentos de 1048576 bytes (1 MB), los comprimí con WinRAR y 7Zip, los archivos comprimidos resultantes tenían exactamente los mismos tamaños, dependiendo del compresor utilizado, y un poco más grandes que la fuente, 1048844 para el 7Z archivos, 1048816 para los archivos RAR, mientras que incluso los archivos JPEG o MP3, por ejemplo, se pueden comprimir ligeramente, entre un 1 y un 2 % de media, a pesar de que ya están muy comprimidos). Hay más de 400 GB, no hay un solo sector en " espacio libre” que parece vacío, o con algún patrón reconocible, esto es realmente desconcertante.
Entonces ¿qué puede ser? ¿Algún tipo de cifrado de unidad? ¿Algún tipo de virus, tal vez un ataque de ransomware? El propietario usa computadoras en un nivel básico y no recuerda haber configurado nunca ningún tipo de cifrado. ¿Es posible que el ordenador se haya vendido con un sistema de cifrado ya activado? ¿Podría un software de seguridad (un producto de McAfee se instala como parte de la instalación básica) haberlo implementado haciendo al usuario una pregunta vaga como "¿quieres proteger tus archivos", provocando un "sí" despistado? Si se trataba de un ataque de ransomware, un "¡te pillé!" La pantalla habría aparecido en algún momento, al final del proceso de cifrado, ¿verdad? ¿Suena como un problema conocido? ¿Lo que estoy observando (un flujo continuo de datos completamente aleatorios) es consistente con el aspecto normal del cifrado? ¿Los ataques de ransomware cifran archivos individuales o algunos de ellos pueden cifrar una partición completa? ¿Hay algunas pruebas que pueda hacer en este momento para determinar si se trata realmente de un cifrado y de qué tipo? ¿Hay alguna posibilidad de recuperar algo en este momento?
Pregunté sobre ese extraño problema en HDDGuru, pero no recibí mucha información útil:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Ese problema en particular se aborda a partir de la novena publicación, las publicaciones anteriores no son relevantes; al principio tenía dudas de que la unidad en sí pudiera estar defectuosa, pero está perfectamente bien).
Gracias.
EDITAR: Aquí hay una captura de pantalla de R-Studio que muestra el esquema de partición de una imagen completa del disco duro de 500 GB de esa computadora.
Entonces solo hay una partición de usuario, la de 438 GB; las demás son particiones reservadas del sistema o de recuperación. Sólo el de 438 GB está lleno de datos aparentemente aleatorios o cifrados. WinHex no muestra las particiones de 301 MB y 38 GB.
Aquí hay una captura de pantalla de WinHex que muestra bytes aleatorios en lugar de espacio libre.
Respuesta1
¿Qué versión de Windows 8 es esta?Bitlockeres el sistema de cifrado de Windows:
BitLocker está disponible para cualquier persona que tenga una máquina con Windows Vista o 7 Ultimate, Windows Vista o 7 Enterprise.Windows 8.1 Pro, Windows 8.1 Empresao Windows 10 Pro.
Por lo tanto, necesita una versión Pro de Windows y la mayoría de las personas tienen una versión Home en su computadora portátil personal. La empresa es para las grandes empresas.
Existen varias alternativas a Bitlocker, pero no conozco ninguna que pueda cifrar una unidad completa, incluidos los archivos del sistema de Windows. Escribe que el software de recuperación no encontró nada más que archivos del sistema de Windows. ¿Se refiere a los archivos del sistema de la nueva instalación o busca archivos del sistema de la instalación anterior? Esta es una distinción importante. Si encontró archivos antiguos, significa que tal vez solo se cifraron las carpetas del usuario. Y luego existen varias alternativas a Bitlocker.
El ransomware es una posible explicación, pero no lo encuentro probable. Creo que solo cifran archivos. Eso es mucho más fácil de hacer y el objetivo es el mismo. Cifrar una partición completa no añade nada a su objetivo. Quieren ganar dinero, por eso cifran archivos, luego te envían un mensaje y, después de pagar, obtienes una clave para descifrarlos. No quieren meterse con su sistema más que eso. Si se corre la voz de que después de pagar todavía tienes problemas, la gente podría dejar de pagar, y eso no es lo mejor para ellos.
Si los datos son importantes, debe crear una imagen bit por bit del disco duro tal como está, ahora mismo, incluso después de la acción de recuperación, y luego trabajar en ese disco. Si necesita la computadora portátil, puede reemplazar el disco y realizar una nueva instalación de Windows 8 o 10.
He usado Photorec una vez. Esa computadora portátil tenía Ubuntu instalado y, después de reformatear e instalar Windows, todavía pude encontrar cientos de imágenes, documentos de Word y miles de archivos del sistema de Windows.