有人要求我通过启动恢复程序从笔记本电脑(Sony Vaio)恢复数据(重新安装 Windows 8)。
在此之前,这台电脑出现故障:电脑在启动时卡在登录屏幕上,甚至过了一整天都没有进入桌面。由于电脑完全没有反应,主人请她父亲修理电脑,他使用出厂恢复程序修好了电脑。她没有告诉他电脑上有她没有备份的个人文件。
通常,在这种情况下,大多数以前的数据仍然可以恢复。我用 R-Studio 扫描了整个驱动器,然后用 Photorec,但这两款知名数据恢复软件都发现没有什么除了当前安装的 Windows 和相关软件之外,她存储在其中的个人照片没有一丝痕迹(唯一找到的图片是来自 Windows 或已安装软件的库存图片)。
然后我用 WinHex 打开驱动器,看看它是否被“低级”格式完全擦除了:但是,第二个惊喜是,主分区远非空,而且似乎充满了看似随机的数据。(事实上,这些数据是如此随机以至于无法压缩根本:作为测试,我提取了三个 1048576 字节(1MB)的块,用 WinRAR 和 7Zip 压缩它们,得到的压缩文件大小完全相同,具体取决于所使用的压缩器,并且略大于源文件,7Z 文件为 1048844,RAR 文件为 1048816 - 而例如 JPEG 或 MP3 文件尽管已经高度压缩,但也可以稍微压缩,平均压缩 1-2%。)它有超过 400GB,在“可用空间”中没有一个扇区看起来是空的,或者有任何可识别的模式,这真的令人费解。
那么,这可能是什么?某种驱动器加密?某种病毒,也许是勒索软件攻击?所有者只是在基本层面上使用计算机,不记得设置过任何类型的加密。计算机出售时是否已激活加密系统?安全软件(McAfee 产品作为基本安装的一部分安装)是否通过向用户询问“是否要保护文件”之类的模糊问题来实现加密,然后得到毫无头绪的“是”?如果这是勒索软件攻击,在加密过程结束时,某个时刻会出现“gotcha!”屏幕,对吗?这听起来像是一个已知问题吗?我观察到的情况(连续的完全随机数据流)与通常的加密是否一致?勒索软件攻击会加密单个文件吗,或者其中一些会加密整个分区吗?此时我可以进行一些测试来确定这是否真的是加密,以及加密的类型是什么?此时还有机会恢复任何东西吗?
我在 HDDGuru 上询问了这个奇怪的问题,但没有得到太多有用的见解:
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(该特定问题从第 9 篇帖子开始解决,之前的帖子与此无关 - 起初我怀疑驱动器本身可能有故障,但结果完全没问题。)
谢谢。
编辑:这是 R-Studio 的屏幕截图,显示了该计算机 500GB HDD 的完整图像的分区方案。
因此只有一个用户分区,即 438GB 的分区;其他分区是保留的系统或恢复分区。只有 438GB 的分区充满了看似随机或加密的数据。WinHex 不会显示 301MB 和 38GB 的分区。
这是 WinHex 的屏幕截图,显示随机字节而不是可用空间。
答案1
这是哪个版本的 Windows 8?Bitlocker是 Windows 加密系统:
BitLocker 适用于拥有运行 Windows Vista 或 7 Ultimate、Windows Vista 或 7 Enterprise 的计算机的任何人,Windows 8.1 专业版、Windows 8.1 企业版或 Windows 10 Pro。
因此,您需要 Windows 的专业版,而大多数人的个人笔记本电脑上都装有家庭版。企业版适用于大型企业。
有几种 Bitlocker 的替代方案,但我不知道有哪种可以加密整个驱动器(包括 Windows 系统文件)。您写道,恢复软件只找到了 Windows 系统文件。您是指新安装的系统文件,还是它找到了旧安装的系统文件?这是一个重要的区别。如果它找到了旧文件,则意味着可能只有用户文件夹被加密了。然后有几种 Bitlocker 的替代方案。
勒索软件是一种可能的解释,但我认为不太可能。我认为他们只加密文件。这很容易做到,而且目的是一样的。加密整个分区对他们的目的没有任何帮助。他们想赚钱,所以他们加密文件,然后给你发消息,你付钱后,你就会得到一个解密的密钥。他们不想再弄乱你的系统了。如果消息传出你付钱后仍然有问题,人们可能会停止付款,这不符合他们的最佳利益。
如果数据很重要,您应该立即对硬盘进行逐位映像,即使在恢复操作之后,也可以在该磁盘上工作。如果她需要笔记本电脑,您可以更换磁盘并全新安装 Windows 8 或 10。
我曾经使用过 Photorec。那台笔记本电脑安装了 Ubuntu,在重新格式化并安装 Windows 后,我仍然能够找到数百张图片、word 文档和数千个 Windows 系统文件。