有人要求我在 Windows 重新安裝 (Windows 8) 後透過啟動復原程序從筆記型電腦 (Sony Vaio) 恢復資料。
在此之前,電腦發生故障:它在啟動時卡在登入畫面上,即使一整天後也無法到達桌面。由於電腦完全沒有回應,業主要求她的父親修復它,他透過恢復出廠設定程序完成了修復。她沒有告訴他她上面有未備份的個人檔案。
通常,在這種情況下,大部分先前的資料仍然可以檢索到。我用 R-Studio 掃描了整個驅動器,然後用 Photorec 掃描了整個驅動器,但這兩種信譽良好的資料復原軟體都發現絕對沒有什麼除了目前的 Windows 安裝和相關軟體之外,沒有任何她儲存在其中的個人圖片的痕跡(唯一找到的圖片是來自 Windows 或已安裝軟體的庫存圖片)。
然後我用 WinHex 打開驅動器,看看它是否已被“低級”格式完全擦除:但是,第二個驚喜是,主分區遠非空,而且似乎充滿了看似隨機的數據。 (事實上它是如此隨機以至於不可壓縮根本不:作為測試,我提取了三個1048576 位元組(1MB) 的區塊,用WinRAR 和7Zip 壓縮它們,生成的壓縮檔案具有完全相同的大小,取決於所使用的壓縮器,並且比來源稍大, 7Z 為1048844文件,RAR 文件為 1048816 – 而即使是 JPEG 或 MP3 文件也可以稍微壓縮,平均壓縮 1-2%,儘管已經高度壓縮。看起來是空的,或者帶有任何可識別的圖案,這確實令人費解。
那麼它會是什麼呢?某種磁碟機加密?某種病毒,也許是勒索軟體攻擊?擁有者只使用基本級別的計算機,並且不記得曾經設定過任何類型的加密。出售的計算機是否可能已啟動加密系統?安全軟體(邁克菲產品作為基本安裝的一部分安裝)是否可以通過詢問用戶一個模糊的問題(例如“您想保護您的文件嗎”)來實現它,並得到毫無頭緒的“是”?如果這是勒索軟體攻擊,那就“有問題了!”螢幕會在加密過程結束時的某個時刻出現,對嗎?這聽起來像是已知問題嗎?我所觀察到的(完全隨機資料的連續流)與加密通常的樣子一致嗎?勒索軟體攻擊會加密單一文件,還是其中一些攻擊會加密整個分割區?此時我可以做一些測試來確定這是否實際上是加密以及加密類型是什麼?此時是否有機會恢復任何東西?
我在 HDDGuru 上詢問了這個奇怪的問題,但沒有得到太多有用的見解:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(這個特定問題從第 9 篇文章開始解決,之前的文章並不相關——起初我懷疑驅動器本身可能有故障,但它完全沒問題。)
謝謝。
編輯:這是 R-Studio 的螢幕截圖,顯示了該電腦 500GB HDD 的完整圖像的分區方案。
因此只有一個使用者分割區,即 438GB 的分割區;其他是保留的系統或恢復分區。只有 438GB 充滿了看似隨機或加密的資料。 WinHex 不顯示 301MB 和 38GB 分割區。
這是 WinHex 的螢幕截圖,顯示隨機位元組而不是可用空間。
答案1
這是什麼版本的 Windows 8?位元鎖是Windows加密系統:
BitLocker 可供任何擁有運行 Windows Vista 或 7 Ultimate、Windows Vista 或 7 Enterprise、Windows 8.1 專業版、Windows 8.1 企業版或 Windows 10 專業版。
因此,您需要 Windows 專業版,而大多數人的個人筆記型電腦上都有家用版。企業是為了大企業。
Bitlocker 有多種替代方案,但我不知道有哪一種可以加密整個磁碟機(包括 Windows 系統檔案)。您寫道,恢復軟體除了 Windows 系統檔案之外什麼也沒找到。您是指新安裝中的系統文件,還是舊安裝中的系統文件?這是一個重要的區別。如果它發現舊文件,則表示可能只有用戶資料夾被加密。 Bitlocker 有多種替代方案。
勒索軟體是一個可能的解釋,但我認為可能性不大。我認為他們只加密文件。這比較容易做到,而且目標是相同的。加密整個分割區不會為他們的目標帶來任何幫助。他們想賺錢,所以他們加密文件,然後向您發送訊息,在您付款後您將獲得解密金鑰。他們不想再擾亂你的系統了。如果有消息稱付款後仍然存在問題,人們可能會停止付款,而這不符合他們的最佳利益。
如果資料很重要,您應該立即製作硬碟的逐位映像,即使在復原作業之後,然後在該磁碟上進行操作。如果她需要筆記型電腦,您可以更換磁碟並全新安裝 Windows 8 或 10。
我用過一次 Photorec。那台筆記型電腦安裝了 Ubuntu,在重新格式化並安裝 Windows 後,我仍然能夠找到數百個映像、Word 文件和數千個 Windows 系統檔案。