누군가 Windows 재설치(Windows 8) 후 시작 복구 절차를 통해 노트북 컴퓨터(Sony Vaio)에서 데이터를 복구해 달라고 요청했습니다.
그 전에는 컴퓨터가 제대로 작동하지 않았습니다. 시작 시 로그인 화면에서 멈춰 하루 종일이 지나도 바탕 화면에 도달하지 못했습니다. 주인은 그녀의 아버지에게 컴퓨터가 전혀 응답하지 않았기 때문에 공장 복원 절차를 사용하여 수리를 요청했습니다. 그녀는 그 안에 백업되지 않은 개인 파일이 있다는 사실을 그에게 말하지 않았습니다.
일반적으로 이러한 경우 이전 데이터의 대부분을 여전히 검색할 수 있습니다. R-Studio와 Photorec을 사용하여 전체 드라이브를 스캔했지만 평판이 좋은 두 데이터 복구 소프트웨어 모두 완전히 발견되었습니다.아무것도 아님예를 들어 현재 Windows 설치 및 관련 소프트웨어 외에는 그녀가 저장한 개인 사진의 흔적이 하나도 없습니다(발견된 유일한 사진은 Windows 또는 설치된 소프트웨어의 스톡 사진입니다).
그런 다음 WinHex를 사용하여 드라이브를 열어 "낮은 수준" 형식으로 완전히 지워졌는지 확인했습니다. 하지만 두 번째로 놀랍게도 기본 파티션은 비어 있지 않았고 무작위로 보이는 데이터로 가득 차 있었습니다. (사실 너무 무작위여서 압축할 수 없습니다.)조금도: 테스트로 1048576바이트(1MB)의 3개 청크를 추출하고 WinRAR 및 7Zip으로 압축했습니다. 결과 압축 파일의 크기는 사용된 압축기에 따라 정확히 동일했으며 소스(7Z의 경우 1048844)보다 약간 더 컸습니다. 파일, RAR 파일의 경우 1048816 - 예를 들어 JPEG 또는 MP3 파일도 이미 압축률이 높음에도 불구하고 평균 1-2%로 약간 압축될 수 있습니다.) 400GB가 넘지만 " 여유 공간'이 비어 있거나 인식할 수 있는 패턴이 있는 경우 이는 정말 수수께끼입니다.
그렇다면 그것은 무엇일까요? 일종의 드라이브 암호화? 일종의 바이러스, 랜섬웨어 공격일까요? 소유자는 기본적인 수준에서 컴퓨터를 사용하며 어떤 종류의 암호화도 설정한 기억이 없습니다. 암호화 시스템이 이미 활성화된 상태로 컴퓨터가 판매되었을 수 있습니까? 보안 소프트웨어(McAfee 제품은 기본 설치의 일부로 설치됨)가 사용자에게 "파일을 보호하시겠습니까?"와 같은 모호한 질문을 하고 아무 생각 없이 "예"라고 대답함으로써 이를 구현할 수 있습니까? 랜섬웨어 공격이었다면 "알았어!" 암호화 과정이 끝날 때 어느 시점에 화면이 나타 났을 것입니다. 그렇죠? 알려진 문제인 것 같나요? 내가 관찰한 것(완전히 무작위 데이터의 연속적인 스트림)이 일반적으로 암호화되는 모습과 일치합니까? 랜섬웨어 공격은 개별 파일을 암호화합니까, 아니면 일부는 전체 파티션을 암호화할 수 있습니까? 이것이 실제로 암호화인지, 그리고 어떤 유형인지 확인하기 위해 이 시점에서 수행할 수 있는 몇 가지 테스트가 있습니까? 이 시점에서 뭔가를 복구할 가능성이 있나요?
나는 HDDGuru에서 그 이상한 문제에 대해 물었지만 유용한 통찰력 측면에서 많은 것을 얻지 못했습니다.
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(이 특정 문제는 9번째 게시물부터 다루어지고 있으며 이전 게시물은 관련이 없습니다. 처음에는 드라이브 자체에 결함이 있을 수 있다는 의심이 있었지만 전혀 문제가 없습니다.)
감사해요.
편집: 다음은 해당 컴퓨터의 500GB HDD에서 전체 이미지의 파티션 구성을 보여주는 R-Studio의 스크린샷입니다.
따라서 사용자 파티션은 438GB 하나뿐입니다. 나머지는 예약된 시스템 또는 복구 파티션입니다. 438GB만 겉으로는 무작위이거나 암호화된 데이터로 가득 차 있습니다. 301MB 및 38GB 파티션은 WinHex에 표시되지 않습니다.
다음은 여유 공간 대신 임의 바이트를 표시하는 WinHex의 스크린샷입니다.
답변1
이 Windows 8 버전은 무엇입니까?비트로커Windows 암호화 시스템은 다음과 같습니다.
BitLocker는 Windows Vista 또는 7 Ultimate, Windows Vista 또는 7 Enterprise를 실행하는 컴퓨터를 가진 모든 사람이 사용할 수 있습니다.윈도우 8.1 프로, 윈도우 8.1 엔터프라이즈또는 Windows 10 Pro.
따라서 Windows Pro 버전이 필요하며 대부분의 사람들은 개인 노트북에 Home 버전을 가지고 있습니다. 기업은 대기업을 위한 것입니다.
Bitlocker에는 여러 가지 대안이 있지만 Windows 시스템 파일을 포함하여 전체 드라이브를 암호화할 수 있는 방법은 없습니다. 복구 소프트웨어가 Windows 시스템 파일만 발견했다고 썼습니다. 새 설치의 시스템 파일을 의미합니까, 아니면 이전 설치의 시스템 파일을 찾습니까? 이것은 중요한 차이점입니다. 오래된 파일이 발견되면 사용자 폴더만 암호화되었을 수도 있습니다. 그리고 Bitlocker에 대한 몇 가지 대안이 있습니다.
랜섬웨어는 가능한 설명이지만 그럴 가능성은 없습니다. 내 생각에는 파일만 암호화하는 것 같아요. 그렇게 하는 것이 훨씬 쉬우며 목표는 동일합니다. 전체 파티션을 암호화해도 목표에 아무 것도 추가되지 않습니다. 그들은 돈을 벌고 싶어서 파일을 암호화한 다음 메시지를 보내고, 비용을 지불하면 해독할 수 있는 키를 받습니다. 그들은 더 이상 시스템을 엉망으로 만들고 싶어하지 않습니다. 비용을 지불한 후에도 여전히 문제가 있다는 소문이 퍼지면 사람들은 지불을 중단할 수 있으며 이는 최선의 이익이 아닙니다.
데이터가 중요한 경우 복구 작업 이후에도 하드 디스크의 비트별 이미지를 있는 그대로 만든 다음 해당 디스크에서 작업해야 합니다. 노트북이 필요한 경우 디스크를 교체하고 Windows 8 또는 10을 새로 설치할 수 있습니다.
저는 Photorec을 한 번 사용해 본 적이 있습니다. 그 노트북에는 Ubuntu가 설치되어 있었고 Windows를 다시 포맷하고 설치한 후에도 수백 개의 이미지, 단어 문서 및 수천 개의 Windows 시스템 파일을 찾을 수 있었습니다.