Введение
Ситуации, когда пользователи теряют свою информацию, случаются довольно часто. Но этот термин – «потерять информацию» — неправильный; правильно говорить «потерять доступ к информации». Данные на носителе в подавляющем большинстве случаев все еще присутствует, просто по каким-то причинам они недоступны. Но бывают и такие случаи, когда информация по-настоящему потеряна – то есть, физически на носителе ее уже нет, либо она модифицирована таким образом, что вернуть ее к «нормальному» состоянию невозможно, либо ее никогда на носителе и не было, либо перестал физически существовать или необратимо поврежден сам носитель.
Существует немало мифов о том, что в некоторых случаях данные восстановить уже нельзя. Это верно приблизительно на 30% и в значительной степени зависит от того, куда именно вы обратились за восстановлением данных и, как бы ни банально это ни звучало, сколько вы готовы заплатить за их восстановление. Для многих цена в 300 долларов США за восстановление информации уже является потолком; между тем, мало кто знает, что крупные компании по восстановлению данных обычно даже не работают с такими суммами, и клиенту с такими финансовыми ограничениями дорога только одна – в небольшие компании, которые работают за небольшие деньги и имеют ограниченный набор инструментов и возможностей.
Крайне важно понимать, что небольшие компании не могут восстанавливать информацию в тяжелых случаях, а рекламные обещания «восстановления данных с любых носителей с любыми неисправностями» не более чем рекламные обещания – из таблицы ниже вы увидите, что часть из этих «любых» неисправностей по зубам только компаниям с очень высокими уровнями доступа к технологиям и компетенциями.
Кроме того, некоторые из компаний начального уровня могут намеренно портить данные или накопитель с целью «не отпустить» клиента. Обычно такие компании отрабатывают следующий сценарий: поступающий на восстановление данных носитель восстанавливается без согласования с заказчиком, так сказать, авансом; данные оцениваются не по прайсу, а по их очевидной стоимости. После этого заказчику предлагается завышенный ценник, и в случае несогласия заказчика – диск или данные портятся таким образом, что восстановить их становится невозможно (см. п. 12 в таблице). Заказчик забирает носитель, посещает одну или несколько других компаний, где перед ним разводят руками, и в итоге возвращается туда, откуда пришел. Ну а там, в зависимости от фантазии менеджмента, ему могут еще взвинтить прайс («вы же ходили по другим фирмам, там все еще больше испортили, и теперь восстановить стоит уже не 200, а 500 долларов»), накрутить на запчастях («диск окончательно испортили, теперь надо два (три, четыре…) донора на запчасти») и т.п. В любом случае, в таких компаниях восстановление данных после их участия возможно только у них же. К счастью, эти места достаточно легко вычислить по негативным отзывам, в которых будет написано что-то типа «предложили очень высокий прайс, сходил в другое место, но там сказали, что ничего восстановить нельзя» — если не будет ни одного отзыва типа «пришел, увидел, огорошили ценой, ушел и восстановил в другом месте», или таких отзывов будут единицы — значит, там определенно портят данные или носитель с целью возвращения заказчика обратно. Все дело в статистике – в стандартных условиях возможно восстановление данных примерно в 70% случаев, и если после какой-то компании при несхождении в цене процент успешных восстановлений резко падает (как правило, до нуля, в некоторых случаях – до 10–15%), то это серьезный повод задуматься.
Таблица. Когда считается, что данные восстановить невозможно, и реальное положение дел
Тип потери данных | Как потеряны данные | Состояние данных | Ориентировочная цена работ | Возможности восстановления |
---|---|---|---|---|
1. Данные не были записаны на диск | В процессе копирования или переноса данные на самом деле не копировались (ошибки отложенной записи и т.п.), или по ошибке/недосмотру копировались на другой накопитель. | Данные отсутствуют | Неприменимо | Восстановление данных невозможно |
2. Очистка диска перезаписью | Security Erase, Low Level Format, перезапись программами для тестирования дисков | Данные отсутствуют | Неприменимо | Восстановление данных невозможно |
3. Восстановление данных на тот же накопитель | Перезапись данных в процессе копирования данных | В зависимости от объема перезаписанного, от 1-2 до 99% исходной информации на диске имеется | 50–500 USD | Восстановление данных возможно не в полном объеме в любой лаборатории DR |
4. Данные на диске зашифрованы, информация о ключах шифрования и паролях утеряна | Данные изменены: шифрование | Данные на диске имеются в полном объеме | 500–50000 USD | Восстановление данных возможно в некоторых крупных лабораториях DR и в лабораториях профильных спецслужб |
5. Данные зашифрованы вирусом-шифровальщиком | Данные изменены: шифрование | Данные на диске имеются в полном объеме | 200–20000 USD | Восстановление данных в большинстве случаев возможно в крупных лабораториях DR и в лабораториях профильных спецслужб. |
6. Данные находятся на карточке microSD, переломленной пополам, или на любой другой карте памяти, NAND-микросхема которой переломлена пополам | Физическое разрушение носителя | Данные на носителе имеются в полном объеме | Неприменимо | Восстановление данных невозможно |
7. Данные удалены с SSD, HDD с поддержкой технологий моментального стирания или флеш-карты командой быстрого форматирования (форматирование заняло несколько секунд) | Модификация системы логической организации накопителя: обнуление подсистемы трансляции | Данные на диске имеются в полном объеме | 100–5000 USD | Восстановление данных с флеш-карт и части SSD возможно в крупных и средних DR компаниях, с другой части SSD и HDD – только в лабораториях профильных спецслужб |
8. Утеряна оригинальная плата электроники или содержимое ПЗУ дисков Seagate (начиная с семейства Barracuda 7200.11 и новее), Toshiba (форм-фактор 2,5’), новейшие HGST. | Невозможность запуска диска: отсутствуют уникальные настройки | Данные на диске имеются в полном объеме | 15000–25000 USD | Восстановление данных возможно в полном объеме в нескольких крупных DR компаниях, а также в лабораториях профильных спецслужб. |
9. Поверхность жесткого диска разрушена (запилы большой площади по всем поверхностям, «блины» разбиты и т.п.) | Физическое разрушение носителя | Данные разрушены | Неприменимо | Восстановление данных невозможно |
10. Оптический диск сломан | Физическое разрушение носителя | Данные разрушены | Неприменимо | Восстановление данных невозможно |
11. Запилы и царапины на поверхности жесткого диска | Физическое разрушение носителя | Данные частично разрушены | 500–50000 USD | Восстановление данных в большинстве случаев возможно в крупных лабораториях DR и в лабораториях профильных спецслужб; в некоторых случаях возможно восстановление данных небольшими компаниями |
12. Носитель или данные намеренно испорчены | Намеренное уничтожение данных | Данные уничтожены | Неприменимо / 100–5000 USD* | Восстановление данных невозможно / Восстановление данных возможно* |
13. Смартфон Apple iPhone старше версии 4S, планшет Apple iPad старше первой версии, для которого утерян пароль, аппарат разбит до состояния невозможности ремонта | Недоступность данных ввиду их принудительного аппаратного шифрования или поломки устройства, несовместимой с его запуском | Данные на носителе имеются в полном объеме | 1000 – 10000 USD | Восстановление данных в некоторых случаях возможно в крупных лабораториях DR и в лабораториях профильных спецслужб. |
14. Смартфон Apple iPhone старше версии 4S, планшет Apple iPad старше первой версии, для которого произведен аппаратный сброс или очистка устройства через iCloud | Стирание устройства через команду iCloud или сбросом на заводские настройки | Данные отсутствуют, память устройства стерта | Неприменимо | Восстановление невозможно. |
* Зависит от того, как именно уничтожены данные.
О том, когда можно, и когда нельзя восстановить данные: чуть более расширенно
1. Данные вообще не записывались на диск. Как ни странно, такое случается, хотя и кажется неправдоподобным. В некоторых случаях пользователь просто забывает, что на самом деле не записывал ничего на носитель; в некоторых – запускает задачу записи, но не обращает внимания на ошибки и думает, что все прошло хорошо; в некоторых дает сбой система отложенной записи Windows. Вариантов на самом деле масса, но результат всегда один: с диска физически нечего восстанавливать, со всеми вытекающими последствиями. Рекомендация тут только одна: копируя или перемещая данные на другой носитель, убедитесь, что копирование или перемещение происходят на самом деле, а перемещенные или скопированные файлы на другом диске имеются и работают.
2. Данные на диске полностью переписаны. Например, диск очищен с использованием Security Erase, low-level format, прямой перезаписью (к примеру, при проверке диска с помощью общедоступных программ с включенной опцией «запись»). В этом случае данные, которые были в секторах диска, уже недоступны, и восстановить то, что было на диске до перезаписи, нельзя. Рекомендация: прежде, чем полностью очищать ваш диск, убедитесь, что на нем нет данных, которые могут пригодиться вам в будущем.
3. Вы восстанавливали удаленные данные с помощью скачанной из интернета программы на тот же диск, с которого велось восстановление. При этом происходит частичная (в особо тяжелых случаях – почти полная) перезапись исходных данных. Суть проблемы заключается в том, что программы для восстановления данных создают дерево файлов в памяти, и информация о дереве файлов и о самих файлах берется не с диска, а из памяти. Соответственно, сами файлы программа записывает, руководствуясь данными операционной системы о свободном месте – которое, если вы удалили данные или отформатировали диск, будет именно там, где находились нужные вам данные. Результат: удаленные данные переписываются другими данными (из физически других секторов) в свободное место – и, естественно, совсем не так, как лежали на диске удаленные данные; и чем больше данных переписывается, тем больше «мусора» попадает на диск. В итоге скорее всего работать будет несколько десятков – сотен первых в очереди файлов, а все остальное будет состоять из мешанины наложенных на ваши данные перезаписанных секторов. Рекомендация: если вы решили попробовать самостоятельно восстановить ваши удаленные файлы, копируйте данные на физически другой носитель, но лучше воспользоваться услугами профессионала, который никогда не допустит таких ошибок.
4. Данные на диске зашифрованы, информация о ключах шифрования или паролях утеряна. Если утеряны пароли, ключи шифрования и тому подобная информация, расшифровка возможна только теми специалистами, у которых имеется возможность генерации ключа. Современные алгоритмы шифрования подразумевают бессмысленность прямого подбора в силу огромного количества возможных комбинаций, поэтому обычные сервисы по восстановлению данных с такими задачами справиться не могут. Рекомендация: если у вас возникла необходимость зашифровать ваши данные, сохраните пароли и ключи шифрования и сделайте их резервную копию.
5. Вы подверглись атаке вирусов-шифровальщиков, для которых не существует общедоступных методов расшифровки. Это не значит, что такое шифрование не может быть расшифровано: как правило, спецслужбы могут контролировать хакеров, чьим бизнесом является накачка Сети вирусами-шифровальщиками и извлечение прибыли из расшифровки файлов, и вполне могут (используя этих самых хакеров) данные расшифровать. К сожалению, помогать с расшифровкой они будут только в тех случаях, когда сами в ней заинтересованы; во всех остальных случаях вам нужно или обращаться к специалистам попроще, или платить злоумышленнику, или смириться с невозможностью расшифровки данных. Рекомендация: осторожно используйте интернет и старайтесь как можно чаще создавать резервные копии ваших данных.
6. Нельзя восстановить данные с флеш-карты, если это переломленная пополам microSD, или один или несколько чипов внутри карты памяти переломлены. При разламывании microSD или NAND-микросхемы происходит необратимое разрушение внутренней структуры, приводящее к невозможности считывания чипа. Однако это не касается карт памяти, у которых сломан или отколот небольшой участок с края; некоторые пользователи подпиливают microSD, когда она не влезает в разъем – такие данные также можно восстановить. Предупреждение: если вы решили почистить карту памяти, или протереть ее контакты в случае потери контакта, или вставить карту памяти в разъем – делайте это аккуратно, мягкими движениями, без нажима, чтобы не повредить.
7. Восстановление данных с флеш-карты или SSD, транслятор которых проинициализирован, а также с HDD с поддержкой технологий моментального стирания (например, Seagate Instant Secure Erase). Физического стирания данных (т.е. очистки секторов области данных) в этом случае не происходит. Накопитель перестраивает систему трансляции таким образом, что для операционной системы он оказывается пустым, и при любом запросе любого сектора этот сектор будет «возвращен» как пустой даже для специальных программ по восстановлению данных.
8. Нельзя восстановить данные с накопителей Seagate начиная с семейства Barracuda 7200.11, с любых накопителей Toshiba форм-фактора 2.5 дюйма (для ноутбуков) и с новейших накопителей производства HGST (Hitachi) (2017 и 2018 гг. производства), если была утеряна их плата электроники. В плате электроники этих накопителей содержатся уникальные для каждого диска настройки (адаптивные параметры); методик расчета этой информации или ее восстановления на настоящее время не существует. Вам смогут помочь только две — три компании, занимающиеся восстановлением данных, имеющие доступ к базам данных заводов-производителей этих жестких дисков. Рекомендация: если плата электроники вашего диска сгорела, не выкидывайте ее – она пригодится для восстановления данных; если вас просят «одолжить» плату электроники с вашего диска для попытки оживления другого диска – откажите, диск почти наверняка не оживет, а риск испортить вашу плату электроники достаточно велик.
9. Нельзя восстановить данные с жестких дисков с разрушенной поверхностью. Если пластины внутри диска разбиты, покрыты запилами на значительной площади, – восстановление данных невозможно. Разрушенная магнитная поверхность – это разрушенные данные; если данные физически уничтожены, их уже не извлечь. Предупреждение: не пытайтесь включать уроненный диск – именно после падения, по статистике, мы видим больше всего запилов и других повреждений поверхности, несовместимых с восстановлением данных; во время диагностики специалист, открыв накопитель, сразу определит, есть ли риск запиливания диска при его включении, или его нет.
10. Нельзя восстановить данные с разломанных на несколько частей оптических дисков. При разламывании происходит деформация треков в области разлома, что делает совмещение этих треков невозможным. Рекомендация: не храните и не используйте оптические диски так, что они могут согнуться и сломаться.
11. Запилы и царапины на поверхности жесткого диска. Неисправности такого типа – не всегда приговор для данных. Конечно, всех данных из такого диска уже не восстановить, ведь участок поверхности уничтожен физически, однако можно восстановить данные из неповрежденных поверхностей или из неповрежденных участков поверхностей. Для восстановления данных с таких дисков, пусть даже и частичного, существует несколько методик, различающихся по цене. Наиболее дорогостоящие методики связаны с применением специальных полимеров, которые затягивают область запила или царапины тонкой пленкой, разравнивают поверхность и не дают завихряться потокам воздуха при вращении диска, оберегая головки от перегрева и выхода из строя. Наименее дорогостоящие методики связаны с физическим удалением поверхности или головок, которые к ней относятся; в этом случае потери данных кратны удаленному участку секторов – например, если у диска повреждена одна поверхность из четырех, то по простой логике, при удалении одной поверхности, будет потеряно 25% всех секторов. На практике процент потерь обычно больше, так как часть файлов будет «вылезать» за пределы этих 25%.
12. Данные уничтожены намеренно. Как правило, уничтожение данных производится так, чтобы восстановить их было уже невозможно (обычно недобросовестными компаниями по восстановлению данных). Однако довольно часто встречаются случаи, когда уничтожение данных производится весьма примитивно (форматирование диска, физическое повреждение диска (удар об стену, например) и т.п.), и восстановить данные после такого уничтожения возможно. Таким образом, возможность восстановления данных после намеренного удаления или порчи накопителя сильно зависит от того, кем были эти данные удалены.
13. Разбитый планшет Apple iPad старше версии 1 или смартфон Apple iPhone старше версии 4S (разбитый так, что работоспособность уже не восстановить), а также то же самое устройство, от которого забыли пароль, или пароль которого «довосстанавливали» до полной блокировки устройства. В этом случае «добраться» до данных напрямую невозможно, так как устройство либо не работает, либо заблокировано (а без пароля оно к «телу» не пустит). Некоторые сервисы будут предлагать вам выпаивание микросхемы NAND и считывание ее NAND-ридером; занятие для всех без исключения компаний начального и многих компаний продвинутого уровня абсолютно бессмысленное, так как расшифровать данные они все равно не сумеют. Apple использует стойкий алгоритм шифрования, ключ генерируется для каждого аппарата уникально. Без знания ключа «взлом в лоб» займет пару миллиардов лет – вы готовы столько ждать? Однако в некоторых крупных компаниях DR и в некоторых профильных спецслужбах имеются необходимые для восстановления данных как минимум с части таких устройств технологии.
14. Планшет Apple iPad или смартфон Apple iPhone, для которого произведено стирание через iCloud или сброс устройства на заводские настройки. При этом устройство стирается полностью специальной командой, данные в устройстве отсутствуют и восстановление данных невозможно.
Уровень компетентности: чем отличаются различные сервисы, или куда обращаться и к чему быть готовым финансово в случае тяжелых потерь данных
Выше, в таблице, вы могли обратить внимание на то, что при части случаев потери данных могут помочь в большинстве компаний восстановления данных, часть – только в крупных компаниях и часть – в профильных спецслужбах. Почему существует такое ранжирование и с чем это связано?
Все дело в уровне доступа к технологиям и информации, а также в уровне полномочий. Все сервисы (включая государственные) восстановления данных можно разделить на следующие типы:
1) Тип доступа «ноль». Не имеющие профильного образования и специального, купленного за деньги, оборудования, пользующиеся исключительно пиратскими программами, псевдо-специалисты. Основная характеристика таких людей: «он что-то понимает в компьютерах, значит может и данные восстановить». Уровень доступа к информации: только то, что находится в открытом доступе в Сети. Основные клиенты: частные лица, которые ищут, как бы восстановить данные «по знакомству» и «подешевле». Весьма опасный тип сервисников, так как они в 90% случаев не понимают, что делают, абсолютно легко по незнанию уничтожают данные или носители, и не несут за это никакой ответственности. Восстановление данных после работы таких «специалистов» довольно часто просто невозможно в силу необратимости повреждений, сгенерированных их активностью. Данный тип сервисников мы не включили ни в таблицу, ни в анализ, так как настоятельно не рекомендуем пользоваться их услугами – это слишком большой риск для ваших данных.
2) Начальный тип. Основная масса сервисов, в которых осуществляется восстановление данных. Как правило, это небольшие компании, ориентированные на обслуживание одного города или небольшой страны. Имеют весьма ограниченный набор оборудования: только то, что можно купить на рынке восстановления данных (продукция компаний ACE Lab, Salvation Data, BVG и некоторых других), ламинарный шкаф (довольно часто – самодельный, т.е. не сертифицированный), паяльное оборудование и стандартные средства тестирования электроники (осциллографы, мультиметры и т.п.). Уровень доступа к информации: техническая документация и форумы используемых продуктов, конференции специалистов восстановления информации. Основные клиенты: частные лица, реже – небольшие или средние компании. Крупные компании или государственные структуры обращаются в такие фирмы только в том случае, если в регионе нет сервисов более высокого уровня.
3) Продвинутый тип. Международные компании и некоторые крупные компании восстановления данных. Как правило, ориентированы на обслуживание страны или нескольких стран. Имеют довольно широкий набор оборудования; кроме того, что можно купить на рынке, обычно обладают собственными разработками и продуктами. Уровень доступа к информации: кроме того, что доступно на начальном типе, имеют доступ к внутренней документации некоторых производителей, к их базам данных, а также к разработкам некоторых других компаний продвинутого типа. Часто производят обмен информацией внутри конгломерата компаний продвинутого типа для расширения возможностей. Примеры таких компаний: ACE Data Recovery, Seagate Data Recovery, IT-Doctor, и др. Основные клиенты таких компаний: платежеспособные частные лица, различные по величине и обороту компании, государственные структуры.
4) Полный тип доступа. Лаборатории некоторых спецслужб (ЦРУ, ФСБ и пр.). Ориентированы на решение определенных государственных задач; могут сотрудничать с компаниями восстановления данных продвинутого типа, изредка – с компаниями начального типа. Обладают полным арсеналом необходимого оборудования, при необходимости любое оборудование может быть приобретено. Уровень доступа к информации: практически любая информация о той или иной технологии может быть получена по запросу (включая ключи и технологии шифрования). Клиенты таких лабораторий: государственные структуры, редко – крупные компании восстановления данных, еще реже – частные лица (обычно в тех случаях, когда интересы частных лиц и интересы государства или профильных лабораторий лежат в одной плоскости).
Соответственно этим типам ранжируется и порядок цен. В лабораториях начального типа стоимость восстановления данных редко превышает 1000 долларов США; средняя стоимость составляет 300 долларов. Лаборатории продвинутого типа редко работают дешевле 1000 долларов США; средняя цена 2000 – 2500 долларов. В лабораториях с полным типом доступа восстановление данных возможно только по знакомству или через компанию продвинутого типа; в любом случае, стоимость работ составит не менее 5000 долларов.
Естественно, что на стоимость работ главным образом будет влиять не столько сложность, сколько эксклюзивность задачи. Скажем, восстановление данных с диска с зацарапанной одной поверхностью в том случае, если восстанавливаются пользовательские фотографии из недавнего отпуска – это 500–1000 долларов, при этом существует немалая вероятность того, что данные вообще не будут восстановлены; если это такой же диск и та же неисправность, но восстанавливается крупная база данных государственной структуры, то ценник может легко превысить 5000 долларов, но при этом данные будут восстановлены с близкой к 90% вероятностью.
Заключение
Эта статья написана не с целью напугать вас, дорогие читатели, а с целью проинформировать: если где-то вам сказали, что восстановить данные с вашего устройства нельзя, то это далеко не всегда именно так, как вам сказали. Приведенные выше сведения должны дать вам пищу для размышлений и точные сведения о том, когда именно все-таки данные восстановить нельзя; исходя из этих сведений и озвученного вам диагноза вы можете хотя бы приблизительно оценить, насколько ваши данные на самом деле невосстановимы, и в какую сумму в случае серьезной необходимости может вылиться вам восстановление «невосстановимых» данных.
Важным дополнением к этой статье будет то, что не все диагнозы одинаково достоверны – другими словами, не всегда диагноз сервисного центра будет правильным. К сожалению, менталитет большинства пользователей «настроен» таким образом, что, получив негативный результат (хотя, конечно, это не результат, а лишь его прогноз), пользователь принимает траурный вид и производит внутричерепные похороны своих данных. Этого делать ни в коем случае нельзя: не факт, что вам сделали правильную диагностику; возможно, где-то в другом месте новости по вашим данным окажутся гораздо более радужными. В любом случае, при условии бесплатной диагностики – вы (теоретически; это уже зависит от порядочности компании, куда вы обратились) ничем не рискуете. Однако, в любом случае, вам нужно четко указывать в приемном документе, что именно с накопителем не так, и, если компания, делавшая диагностику, будет возвращать вам диск в состоянии, отличающемся от первоначального – тут же бить тревогу и требовать возмещения убытков (если, конечно, это изменение не было в целях диагностики вами санкционировано).
Благодарность
Авто сердечно признателен Сергею Антипину ака @Haos за критическое прочтение рукописи данной статьи и ряд ценных замечаний и дополнений, позволивших ее улучшить.
Станислав Корб, ©2018