Кто-то попросил меня восстановить данные с ноутбука (Sony Vaio) после переустановки Windows (Windows 8) с помощью процедуры восстановления при загрузке.
До этого компьютер работал со сбоями: зависал при запуске, на экране входа в систему, не доходил до рабочего стола даже после целого дня. Хозяйка попросила отца починить его, что он и сделал, воспользовавшись процедурой восстановления заводских настроек, поскольку компьютер полностью не реагировал. Она не сказала ему, что на нем есть личные файлы, которые не были сохранены.
Обычно в таком случае большую часть прежних данных все еще можно восстановить. Я просканировал весь диск с помощью R-Studio, затем Photorec, но обе авторитетные программы для восстановления данных нашли абсолютноничегоза пределами текущей установки Windows и связанного с ней программного обеспечения не обнаружено ни единого следа личных фотографий, которые она там хранила (единственные найденные фотографии — это стоковые изображения из Windows или установленного программного обеспечения).
Затем я открыл диск с помощью WinHex, чтобы проверить, был ли он полностью стерт «низкоуровневым» форматированием: но, второй сюрприз, основной раздел был далеко не пуст и оказался заполненным, казалось бы, случайными данными. (Настолько случайными, что их невозможно сжатьсовсем: в качестве теста я извлек три фрагмента по 1048576 байт (1 МБ), сжал их с помощью WinRAR и 7Zip, полученные сжатые файлы имели точно такие же размеры, в зависимости от используемого компрессора, и немного больше, чем исходные, 1048844 для файлов 7Z, 1048816 для файлов RAR — в то время как даже файлы JPEG или MP3, например, могут быть немного сжаты, в среднем на 1-2%, несмотря на то, что они уже сильно сжаты.) Там более 400 ГБ, нет ни одного сектора в «свободном пространстве», который выглядел бы пустым или имел бы какой-либо узнаваемый узор, это действительно озадачивает.
Так что же это может быть? Какое-то шифрование диска? Какой-то вирус, может быть, атака программы-вымогателя? Владелец использует компьютеры на базовом уровне и не помнит, чтобы когда-либо настраивал шифрование любого рода. Мог ли компьютер быть продан с уже активированной системой шифрования? Могло ли программное обеспечение безопасности (продукт McAfee устанавливается как часть базовой установки) реализовать это, задавая пользователю неопределенный вопрос, например «Вы хотите защитить свои файлы», вызывая невежественное «да»? Если бы это была атака программы-вымогателя, в какой-то момент, в конце процесса шифрования, появился бы экран «Попался!», верно? Похоже ли это на известную проблему? Соответствует ли то, что я наблюдаю (непрерывный поток совершенно случайных данных), тому, как обычно выглядит шифрование? Шифруют ли атаки программ-вымогателей отдельные файлы или некоторые из них могут шифровать целый раздел? Есть ли какие-то тесты, которые я мог бы провести на этом этапе, чтобы определить, действительно ли это шифрование, и какого его типа? Есть ли на данный момент шанс что-то восстановить?
Я спрашивал об этой странной проблеме на HDDGuru, но не получил много полезной информации:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Эта конкретная проблема рассматривается, начиная с 9-го поста, более ранние посты не имеют значения – сначала у меня были сомнения, что сам привод может быть неисправен, но с ним все в порядке.)
Спасибо.
EDIT: Вот снимок экрана R-Studio, показывающий схему разбиения полного образа жесткого диска этого компьютера объемом 500 ГБ.
Итак, есть только один пользовательский раздел, 438 ГБ; остальные зарезервированы для системы или восстановления. Только раздел 438 ГБ заполнен, по-видимому, случайными или зашифрованными данными. Разделы 301 МБ и 38 ГБ не отображаются WinHex.
Вот скриншот WinHex, показывающий случайные байты вместо свободного места.
решение1
Какая это версия Windows 8?Битлокерсистема шифрования Windows:
BitLocker доступен всем, у кого есть компьютер под управлением Windows Vista или 7 Ultimate, Windows Vista или 7 Enterprise,Windows 8.1 Профессиональная, Windows 8.1 Корпоративнаяили Windows 10 Pro.
Итак, вам нужна Pro-версия Windows, а у большинства людей на личном ноутбуке установлена Home-версия. Enterprise — для крупного бизнеса.
Есть несколько альтернатив BitLocker, но я не знаю ни одной, которая могла бы зашифровать весь диск, включая системные файлы Windows. Вы пишете, что программа восстановления не нашла ничего, кроме системных файлов Windows. Вы имеете в виду системные файлы из новой установки или она находит системные файлы из старой установки? Это важное различие. Если она нашла старые файлы, это означает, что, возможно, были зашифрованы только пользовательские папки. И затем есть несколько альтернатив BitLocker.
Возможное объяснение — программы-вымогатели, но я не считаю это вероятным. Я думаю, они только шифруют файлы. Это намного проще сделать, и цель та же. Шифрование всего раздела ничего не добавляет к их цели. Они хотят заработать денег, поэтому они шифруют файлы, затем отправляют вам сообщение, и после того, как вы заплатите, вы получаете ключ для расшифровки. Они не хотят больше возиться с вашей системой. Если станет известно, что после оплаты у вас все еще есть проблемы, люди могут перестать платить, а это не в их интересах.
Если данные важны, вам следует сделать побитовый образ жесткого диска, как он есть, прямо сейчас, даже после восстановления, а затем работать с этим диском. Если ей нужен ноутбук, вы можете заменить диск и выполнить новую установку Windows 8 или 10.
Я однажды использовал Photorec. На том ноутбуке была установлена Ubuntu, и после переформатирования и установки Windows я все равно смог найти сотни изображений, текстовых документов и тысячи системных файлов Windows.