Если вирус "пошалил" и зашифровал файлы - СТАТЬИ И ЗАМЕТКИ - Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде

Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде

FOLLOW

iTC

ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР

Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде

ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР

Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде

Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде

ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР
ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР
г. Волгоград, ул. Канунникова, д. 6 оф. 436 (4 этаж)
г. Волгоград, ул. Канунникова, д. 6 оф. 436 (4 этаж)
ICQ
Для оперативной связи со специалистом по вопросам восстановления данных
Skype
Viber
Телефон офиса
e-mail
Мы работаем для тех, кому важен результат.
Перейти к контенту
Как Вы узнали о нас?
Нашли в интернет на Yandex Google
Дали ссылку в социальной сети
Рассказали друзья, знакомые
Направили из другой фирмы
Другое...
Ваш ответ:

Если вирус "пошалил" и зашифровал файлы

Восстановление данных с неисправных носителей информации HDD FLASH SSD и ремонт ноутбуков в Волгограде
Опубликовано выход Статьи ·
Tags: dr
Статья посвящена случаям, когда из-за беспечности пользователя оказывается зашифрована информация, хранящаяся на жестком диске его компьютера. Ситуация, мягко говоря не из приятных, когда в один прекрасный момент перестают открываться документы или фото, а вместо этого, к примеру появляется зловещая картинка гласящая, что "...мол ваши файлы  зашифрованы и т.д. и т.п..."
Недавно в нашу организацию обратился заказчик с винчестером, с которого необходимо восстановить данные.
Hitachi HTS545050B9A300
Пациент:
Hitachi HTS545050B9A300, емкостью 500Gb
Анамнез:
Клиент рассказал, что его HDD со временем стал медленнее и хуже работать, переустановки операционной системы помогали все меньше, и в конце-концов диск уже перестал позволять что-либо с собой сделать.
Задача восстановить информацию, а точнее семейный фотоархив с диска "D".
Оценка текущего состояния этого жесткого диска показала, что с ним обращались не очень аккуратно, чему свидетельствовало наличие в логах SMART огромного количества ошибок, возникших вследствии ударных нагрузок. Также пользовательский дефект-лист (G-List) был заполнен, что называется "под завязку". Также было выявлено неустойчивое чтение по головам 0 и 2 (всего головок у данной модели 4). Причем неустойчивые области чтения располагались преимущественно там, где нужные пользователю данные не располагались.
На первый взгляд вполне себе "классический кейс" с проблемной поверхностью и полудохлым БМГ. Отключив фоновые процессы обработки дефектов микромрограммой накопителя, я приступил к задаче. MFT нужного раздела была вычитана и где это было необходимо - реконструирована. Взгляду предстала вполне адекватная структура пользовательских данных. Дальше была построена карта цепочек нужных клиенту файлов. И необходимый массив был успешно вычитан (в том числе с использованием технологического режима чтения для полудохлых голов).

Корректные заголовки папок и файлов
Для удобства в работе над заказом по восстановлению данных,​​ в DE комплекса (DataExtractor) реализована возможность контроля заголовков файлов и папок. Проверка осуществляется по характерным сигнатурам заголовков и соответствию папок записям в MFT (Master File Table). Если проверка на корректность проходит успешно, то на объекте появляется зеленая отметка, что наглядно изображено на картинке справа.
Некорректные заголовки файлов
Но в данном случае содержимое большинства каталогов было, с точки зрения комплекса, не корректным. Точнее сами папки и файлы в них находились на своих местах, имели  правильный размер, но проверка заголовков говорила о том, что содержимое файла не соответствует его типу.

Ну что-ж... будем разбираться... Если заглянуть в первый сектор живого jpg-файла (фотографии), то можно увидеть характерные его признаки, вплоть до названия и модели камеры, при помощи которой снимок был сделан.​​
Заголовок jpg-файлаШифрованный jpg
На левом скриншоте заголовок живой фотографии, (красным отмечены узнаваемые сигнатуры). На правом - заголовок некорректного файла, причем не лишенный осмысленного содержания...
При просмотре любого такого файла открывается одно и то же изображение с таким вот содержимым...
Просмотр шифрованного файла

Это недвусмысленно указывает на то, что здесь потрудился вирус-шифровальщик. Оценив масштабы бедствия - оставалось только развести руками... Основная папка с нужным содержимым была зверски изничтожена. Порядка 30Gb зашифрованных фотографий...



Карта цепочек шифрованного

Значит вирус был активен очень продолжительное время. Такой объем зашифровать можно только за несколько месяцев, да еще и незаметно для пользователя. На изображении ниже можно увидеть динамику работы этого вредоноса. Дата создания всех файлов одинакова (правая стрелка), а вот дата изменения варьируется. Это говорит о том, что вирусу жилось довольно комфортно.

Дата модификации файлов

Расшифровка теоретически возможна, но при наличии хотя-бы тела этого вируса. Анализ системного раздела диска результа не принес, т.к. операционная система была явно переустановлена намного позже периода активности вируса. Это наглядно видно на папке профиля пользователя. И заказчик говорил о том, что ОС переустанавливалась несколько раз.

Дата создания профиля пользователя

Вот так "классический кейс" плавно перешел в категорию по стоимости и срокам сравнимой с проектированием и постройкой космического челнока многоразового использования. Результат беспечности пользователя и пренебрежение элементарными правилами антивирусной защиты.
В заключении хочу дать несколько рекомендаций, чтобы потом не было мучительно больно:
Регулярно выполнять резервирование важных данных с контролем их целостности.
Использовать антивирусное программное обеспечение ДО появления возможных проблем, а не после их возникновения.
Но уж если пренебрегли элементарными правилами, то после обнаружения заражения, ни в коем случае не пытаться "лечить" шифровальщика и тем более не переустанавливать операционную систему, а сразу обратиться к нам за помощью.

Любое копирование, цитирование и публикация материалов (или их части) допускается только с разрешения администрации сайта и с обязательной ссылкой на источник.


comments powered by Disqus
FOLLOW
iTC
ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР
Восстановление данных и ремонт ноутбуков в Волгограде
400001, г. Волгоград, ул. Канунникова, д. 6 оф. 436 (4 этаж)
+7 (8442) 56 45 85           +7 902 098 45 85            +7 906 451 16 92
691 168 539                          itc.volgograd                    mail@itcvg.com
Часы работы:   Пн-Пт        с 09-00 до 17-00
Сб-Вс  только  по записи
iTC
ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР
Восстановление данных и ремонт ноутбуков в Волгограде
400001, г. Волгоград, ул. Канунникова, д. 6 оф. 436 (4 этаж)
+7 (8442) 56 45 85           +7 902 098 45 85            +7 906 451 16 92
691 168 539                          itc.volgograd                   mail@itcvg.com
Часы работы:  Пн-Пт с 09-00 до 17-00
Сб-Вс  только  по записи
iTC
ИНЖЕНЕРНО ТЕХНИЧЕСКИЙ ЦЕНТР
Восстановление  данных  и  ремонт  ноутбуков  в  Волгограде
400001, г. Волгоград, ул. Канунникова, д. 6 оф. 436 (4 этаж)
+7 (8442) 56 45 85           +7 902 098 45 85            +7 906 451 16 92
691 168 539                          itc.volgograd                  mail@itcvg.com
Часы работы:  Пн-Пт с 09-00 до 17-00
Сб-Вс  только  по записи
Адрес офиса
Телефон офиса
ICQ
Viber
Skype
Мобильный телефон
e-mail
Copyright (c) iTC. All rights reserved. Информация на сайте носит ознакомительный характер и не является публичной офертой.
Copyright (c) iTC. All rights reserved. Информация на сайте носит ознакомительный характер и не является публичной офертой.
Загрузите наше мобильное приложение
Загрузите наше мобильное приложение
Назад к содержимому