Alguém me pediu para recuperar dados de um laptop (Sony Vaio), após a reinstalação do Windows (Windows 8) através do procedimento de recuperação de inicialização.
Antes disso, o computador estava com defeito: travava na inicialização, na tela de login, nunca chegava à área de trabalho, mesmo depois de um dia inteiro. A proprietária pediu ao pai para consertá-lo, o que ele fez usando o procedimento de restauração de fábrica, já que o computador não respondia completamente. Ela não disse a ele que tinha arquivos pessoais dos quais não havia backup.
Normalmente, nesse caso, a maioria dos dados anteriores ainda pode ser recuperada. Eu digitalizei toda a unidade com o R-Studio e depois com o Photorec, mas ambos os softwares de recuperação de dados confiáveis foram encontrados absolutamentenadaalém da instalação atual do Windows e dos softwares associados, nem um único vestígio das fotos pessoais que ela armazenou nele, por exemplo (as únicas fotos encontradas são fotos do Windows ou dos softwares instalados).
Então abri o drive com WinHex, para ver se ele havia sido completamente apagado por um formato de “baixo nível”: mas, segunda surpresa, a partição principal estava longe de estar vazia e parecia cheia de dados aparentemente aleatórios. (Tão aleatório que não é compressívelde forma alguma: como teste, extraí três pedaços de 1048576 bytes (1MB), compactei-os com WinRAR e 7Zip, os arquivos compactados resultantes tinham exatamente os mesmos tamanhos, dependendo do compressor usado, e um pouco maiores que a fonte, 1048844 para o 7Z arquivos, 1048816 para os arquivos RAR – enquanto mesmo arquivos JPEG ou MP3, por exemplo, podem ser ligeiramente compactados, em 1-2% em média, apesar de já estarem altamente compactados.) São mais de 400 GB, não há um único setor em “ espaço livre” que parece vazio ou com qualquer padrão reconhecível, isso é realmente intrigante.
Então, o que pode ser? Algum tipo de criptografia de unidade? Algum tipo de vírus, talvez um ataque de ransomware? O proprietário usa computadores em um nível básico e não se lembra de ter configurado qualquer tipo de criptografia. O computador poderia ter sido vendido com um sistema de criptografia já ativado? Um software de segurança (um produto McAfee é instalado como parte da instalação básica) poderia tê-lo implementado fazendo ao usuário uma pergunta vaga como “você deseja proteger seus arquivos”, provocando um “sim” sem noção? Se foi um ataque de ransomware, uma “pegadinha!” a tela teria aparecido em algum momento, no final do processo de criptografia, certo? Isso soa como um problema conhecido? O que estou observando (um fluxo contínuo de dados completamente aleatórios) é consistente com a aparência normal da criptografia? Os ataques de ransomware criptografam arquivos individuais ou alguns deles podem criptografar uma partição inteira? Existem alguns testes que eu poderia fazer neste momento para determinar se isso é realmente uma criptografia e que tipo dela? Existe alguma chance de recuperar alguma coisa neste momento?
Perguntei sobre esse problema estranho no HDDGuru, mas não recebi muitos insights úteis:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Essa questão específica é abordada a partir do 9º post, os posts anteriores não são relevantes – no começo eu tinha dúvidas de que a unidade em si pudesse estar com defeito, mas está perfeitamente bem.)
Obrigado.
EDIT: Aqui está uma captura de tela do R-Studio mostrando o esquema de particionamento de uma imagem completa do HDD de 500 GB desse computador.
Portanto, há apenas uma partição de usuário, a de 438 GB; os outros são partições reservadas de sistema ou de recuperação. Apenas o de 438 GB está cheio de dados aparentemente aleatórios ou criptografados. As partições de 301 MB e 38 GB não são exibidas pelo WinHex.
Aqui está uma captura de tela do WinHex mostrando bytes aleatórios em vez de espaço livre.
Responder1
Que versão do Windows 8 é essa?BitLockeré o sistema de criptografia do Windows:
O BitLocker está disponível para qualquer pessoa que possua uma máquina rodando Windows Vista ou 7 Ultimate, Windows Vista ou 7 Enterprise,Windows 8.1 Pró, Windows 8.1 Empresaou Windows 10 Pro.
Portanto, você precisa de uma versão Pro do Windows, e a maioria das pessoas tem uma versão Home em seus laptops pessoais. Empresa é para grandes negócios.
Existem várias alternativas ao bitlocker, mas não conheço nenhuma que possa criptografar uma unidade inteira, incluindo os arquivos de sistema do Windows. Você escreve que o software de recuperação não encontrou nada além de arquivos de sistema do Windows. Você quer dizer os arquivos de sistema da nova instalação ou encontra arquivos de sistema da instalação antiga? Esta é uma distinção importante. Se encontrou arquivos antigos, significa que talvez apenas as pastas do usuário tenham sido criptografadas. E existem várias alternativas ao Bitlocker.
Ransomware é uma explicação possível, mas não acho provável. Acho que eles apenas criptografam arquivos. Isso é muito mais fácil de fazer e o objetivo é o mesmo. Criptografar uma partição completa não acrescenta nada ao seu objetivo. Eles querem ganhar dinheiro, então criptografam os arquivos, enviam uma mensagem para você e, depois de pagar, você recebe uma chave para descriptografar. Eles não querem mais mexer com o seu sistema do que isso. Se se espalhar a notícia de que depois de pagar você ainda tem problemas, as pessoas podem parar de pagar, e isso não é do interesse delas.
Se os dados forem importantes, você deve fazer uma imagem bit a bit do disco rígido como está, agora mesmo, mesmo após a ação de recuperação, e então trabalhar nesse disco. Se ela precisar do laptop, você pode substituir o disco e fazer uma nova instalação do Windows 8 ou 10.
Eu usei o Photorec uma vez. Aquele laptop tinha o Ubuntu instalado e, depois de reformatar e instalar o Windows, ainda consegui encontrar centenas de imagens, documentos do Word e milhares de arquivos de sistema do Windows.