Вчера в нашу лабораторию поступил ноутбук MacBook Pro 2013 года выпуска с диагнозом «завис при обновлении на ОС Big Sur». Пользователь пробовал загрузку в безопасном режиме и сброс параметров памяти — ничего не помогло. Ноутбук в результате обновления превратился в… тыкву =).
Что же случилось? Как оказалось, ноутбуки MacBook Pro этого года выпуска являются «крайними» в линейке поддерживаемых новой операционной системой устройств. Очевидно, часть этих устройств имеет уже критические для поддержки этой операционной системы параметры и в силу последнего обновление завершается ошибкой.
Из зависшего наглухо ноутбука требовалось извлечь данные, с чем мы успешно справились методом прямого доступа к его накопителю. Ну а после восстановления информации удалось и вернуть ноутбук к работе.
Как оказалось, проблема c последним обновлением операционной системы от Apple выявилась у довольно большого числа пользователей; об этом говорят темы, созданные пользователями устройств Apple на форумах в Интернете. Наиболее интересными являются темы, созданные на официальном форуме Apple, например вот эта.
В общем, если у вас ноутбук Apple MacBookPro выпуска 2013 или первых месяцев 2014 года — не торопитесь с его обновлением до операционной системы MacOS Big Sur, потому как вас может ждать неприятный Surприз =).
В условиях пандемии COVID-19 услуги очного восстановления данных становятся менее востребованными, на первый план выступают услуги удаленного или заочного восстановления информации. Это связано с очевидными рисками заражения при личном контакте, не смотря на использование масок, санитайзеров и других средств защиты. Компания IT-Doctor идет в ногу со временем и не хочет лишний раз подвергать опасности здоровье своих клиентов, поэтому по возможности оказывает свои услуги удаленно или заочно. Для этого компанией разработаны соответствующие протокола.
Протокол 1. Удаленное восстановление информации
Данный протокол вступает в силу в случае, если имеется техническая возможность удаленного восстановления информации.
Восстановление данных осуществляется либо посредством подключения нашего специалиста к удаленному компьютеру с последующим выполнением необходимого для восстановления данных комплекса работ, либо посредством отправки нам удобным для пользователя удаленного компьютера способом файла-образа диска, поврежденного файла либо другого модуля информации для осуществления анализа и работ по восстановлению данных.
Оплата осуществляется по принципу депозита: необходимая сумма депонируется на счетах компании IT-Doctor до начала работ. По окончанию работ стороны приходят к соглашению, что работы выполнены; на основании этого соглашения подписывается Акт выполненных работ, являющийся основанием для зачисления депозита в качестве оплаты за работы. Подписание Акта выполненных работ осуществляется удаленно.
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на сеанс удаленного восстановления информации (любым удобным способом, см. Контакты).
Определение стоимости удаленных услуг.
Депонирование стоимости на счетах компании IT-Doctor.
Подключение к удаленному компьютеру, выполнение работ / Отправка файлов компании IT-Doctor для проведения работ.
Приемка выполненных работ. Подписание Акта выполненных работ.
Зачисление депозита в качестве оплаты выполненных работ.
Протокол 2. Заочное восстановление информации
Данный протокол вступает в силу, если для восстановления информации требуется физическая передача устройства в лаборатории компании IT-Doctor. Передача может происходить через службы доставки (особенно это касается клиентов компании, проживающих в других городах или странах).
Порядок действий по Протоколу:
Оформление заявки в компанию IT-Doctor на услугу восстановления информации (любым удобным способом, см. Контакты).
Подготовка накопителя к отправке или транспортировке.
Доставка накопителя в офис компании IT-Doctor.
Обработка устройства антисептичческим средством.
Диагностика устройства.
Определение стоимости работ и запчастей (если требуется), сроков работ.
Согласование стоимости и сроков работ.
Проведение работ.
Передача результата проведенного восстановления данных заказчику.
Оплата всегда производится после окончания работ.
Упаковка накопителя
Для отправки накопителя информации, с которого необходимо восстановить файлы, его необходимо правильно упаковать. Чем лучше будет упакован накопитель, тем меньше у него шансов получить повреждения при транспортировке.
Какие требования предъявляются к упаковке:
Снаружи упаковка должна быть достаточно прочной, чтобы выдерживать удары, которым может подвергаться отправление при транспортировке (включая возможные падения посылки).
Внутри, между упаковкой и устройством, должен быть проложен достаточный слой материала, гасящего вибрации. Оптимальным является использование воздушно-пупырчатой пленки, однако, в случае ее отсутствия, с задачами гашения вибраций вполне справляется мятая бумага или обычная, но несинтетическая, вата.
Устройство внутри упаковки должно находиться примерно посередине.
Размер упаковки должен быть больше упаковываемого устройства приблизительно в 3 — 5 раз; тогда количество гасящего вибрации материала будет достаточным для безопасной транспортировки.
Оптимальной упаковкой для транспортировки жесткого диска является стандартная почтовая коробка размером 300 х 200 х 150 мм (гофрокороб) или ее доступные аналоги; для транспортировки карты памяти или оптического диска — почтовая упаковочная коробка наименьшего доступного размера.
Задача. Восстановить данные с жесткого диска SCSI IBM Ultrastar 18 GB
Описание проблемы. Накопитель не определяется.
Результаты диагностики. Диагностика проведена с использованием ПАК РС-3000 SCSI. Выяснено, что имеются повреждения микропрограммы накопителя.
Необходимые для восстановления информации процедуры.
Резервирование максимального количества данных из служебной зоны накопителя.
Подготовка пациента к запуску в технологическом режиме.
Ремонт микропрограммы.
Запуск накопителя в технологическом режиме.
Создание посекторной копии диска-пациента.
Извлечение пользовательских данных из полученного образа.
Результат.
Данные восстановлены полностью.
Особенности заказа.
Накопители с интерфейсом SCSI довольно редко попадают в работу в силу двух факторов: их относительно неширокого распространения и значительного устаревания технологии. Работа с этими дисками кардинально отличается от работы с накопителями, сделанными по технологии АТА. Для обеспечения доступа к данным требуется не только специализированное (и довольно старое) оборудование, но также специализированный набор команд.
Прогнозы сбываются. Корпорация Seagate начала поставлять на рынок новые жесткие диски — Seagate SkyHawk AI емкостью 18 Тб с элементами искусственного интеллекта.
Новые диски предназначены для использования в системах видеонаблюдения высокой четкости и, как заявляет производитель, благодаря элементам искусственного интеллекта, включенным в специально разработанную Seagate микропрограмму ImagePerfect AI, производят запись без пропущенных кадров даже при самых интенсивных нагрузках — диски способны работать при 64 потоках видео высокой четкости (и 32 потоках данных ИИ).
Утверждается, что диски имеют среднее время наработки на отказ 2 млн часов (хм… ну, посмотрим) при средней загрузке 550 Тб в год — то есть, путем несложных вычислений, такой диск можно полностью переписать за год 30 раз. Не скажу, чтобы эта цифра меня впечатлила — если диск реально будет работать в системе видеонаблюдения с 64 потоками (то есть, 64 камеры) с разрешением Full HD, то полная перезапись диска такого объема должна произойти немногим меньше чем за 5 суток — то есть ресурс диска будет вырабатываться примерно в 2 раза быстрее расчетного. Опять же — посмотрим.
Естественно, что накопитель такой емкости выполняется по гелиевой технологии. И не менее естественно, что внутри расположено большое количество головок и магнитных пластин. При таких раскладах надежность этих дисков достаточно условна.
Ну и вишенка на торте — цена. Диски ST18000VE002 продаются в США по цене около 510 долларов за штуку.
Любому специалисту по восстановлению информации известно такое неприятное явление, как запил поверхности жесткого диска. Да что там говорить — неприятное. Катастрофическое! Ужасное! Фатальное для данных.
Что такое этот запил, и чем он отличается от других повреждений поверхности НЖМД?
Повреждения поверхности жесткого диска
Дефектные сектора (бэд-блоки). Такие повреждения обычно не видно невооруженным глазом, они проявляются при копировании информации: диск или зависает окончательно при попытках скопировать файлы, или начинает срываться в стук и перестает работать, или данные копируются очень долго.
Царапины. Эти повреждения имеют или радиальную, или концентрическую направленность, и, как правило, очень тонкие. Часто они настолько тонкие, что определить их можно только с помощью фог-теста (поверхность на короткое время покрывается парами дистиллированной воды, при этом изменяются преломляющие свет свойства поверхности и становятся видны микроповреждения).
Запилы. Как правило, бывают в основном концентрическими. Запилы хорошо видно невооруженным взглядом, это серьезные и крупные повреждения поверхности. Характеризуются глубоким внедрением не только в лубрикант, но также и в несущий информацию магнитный слой. Имеют тенденцию к лавинообразному разрастанию за очень короткое время.
Что такое запил
Запил на поверхности жесткого диска, увеличение х10
Запил — это глубокое и необратимое повреждение поверхности жесткого диска. При запиле повреждаются не только верхние, защитные слои поверхности, но также и более глубокие слои: несущий данные ферромагнетик и, довольно часто, даже подложка.
Запиленная поверхность накопителя HGST. Неповрежденным остался только участок поверхности под парковочной рампой.
Чем опасен запил
Самое неприятное, что привносит запил в работу жесткого диска — это мелкодисперсная (а иногда и крупнофракционная, вплоть до опилок) пыль. Пыль внутри диска, в котором магнитные поверхности вращаются с гарантированной скоростью свыше 5000 оборотов в минуту, почти мгновенно начинает разрушать не затронутые запилом поверхности — вначале бомбардируя их и приводя к образованию множества дефектных секторов; затем частицы пыли попадают на исправные головки, выводят их из строя и те, в свою очередь, начинают запиливать еще исправную поверхность. Если диск, который начал запиливаться, не остановить — будет безвозвратно потеряно все его содержимое. Именно поэтому современные НЖМД при старте опрашивают все головки, и если хотя бы одна из них не прочитает и не запишет данные, диск немедленно останавливает свою работу.
Запил в парковочной зоне накопителя Seagate Barracuda 7200.11
Как образуется запил
Основной источник запиливания жестких дисков — свободно двигающиеся в гермоблоке частицы. Например, при парковке головок на внешнюю рампу обломился небольшой кусочек рампы (она пластиковая). При следующем включении диска потоками воздуха его начало «гонять» по гермоблоку, и вопрос того, когда произойдет соударение этого кусочка с головками или поверхностью — лишь вопрос времени. Во время соударения происходят необратимые изменения, и начинается процесс запиливания.
Реже бывает так, что при резкой потере питания не срабатывает магнитный замок, и головки падают на поверхность. При следующем запуске, если шпиндель может провернуть диски, головки срывает с кронштейнов, а пока набирается необходимая скорость вращения, они пилят поверхность.
Также образование запилов возможно в тех случаях, когда происходят разрушения или повреждения пъезоэлементов современных головок, или нарушения в работе микропрограммы (например, распарковка головок до набора шпинделем необходимой скорости вращения).
Есть ли шансы восстановить данные при запиливании диска?
Это — самый главный вопрос. Если диск запилен, можно ли из него извлечь данные хотя бы частично?
Практика показывает, что в большинстве случаев, если диск не пилился непозволительно долго, часть данных из него достать можно. Это делается разными методами — поверхность покрывается особыми полимерами, поврежденная поверхность исключается из трансляции, изготавливаются специальные устройства для обхода запилов, ограничители и т.п.
Стоимость таких работ ввиду их сложности достаточно высока.
Если вы подозреваете у своего накопителя запил, немедленно отключайте его от питания и несите профессионалам. Диагностика в этом случае включает разборку диска и оценку масштабов повреждений, на основании которых делается смета затрат и оцениваются шансы успешного проведения работ.
Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности
Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.
Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?
Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.
Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.
Вчера на сайте журнала Forbes появилась весьма тревожная статья: объявлено, что облачный сервис Canon подвергся хакерской атаке и с него было украдено около 10 Тбайт данных пользователей.
Новость эта тревожна по двум причинам. Во-первых, уж если такие крупные гиганты IT-индустрии, как Canon, не могут обеспечить безопасность своих онлайн-сервисов, то что говорить о нас, простых смертных? И, во-вторых, а если в следующий раз злоумышленники не станут красть чужие данные, а зашифруют их? Как известно, современные вирусы-шифровальщики весьма тяжело поддаются расшифровке.
Что известно на настоящий момент? 5 августа 2020 года хакеры из группировки Maze (разработчика одноименного зловреда) взломали защиту серверов Canon и украли около 10 Тбайт данных, включая персональную информацию. Что именно было украдено, не раскрывается — но, надо думать, хакеры вряд ли стали бы тянуть с серверов фоточки и видосики пользователей. Всего пострадало 24 домена Canon — случай беспрецедентный по своему размаху. Скорее всего, злоумышленники получили полный доступ к корневым директориям главных серверов компании.
В настоящее время компания Canon проводит расследование данного инцидента. Самое неприятное, что мне, как пользователю сервисов Canon, не поступало никаких предупреждений о том, что требуется мое внимание к безопасности моего аккаунта.
В свете всего этого я бы посоветовал тем, кто пользовался облачными сервисами Canon, озаботиться обновлением защиты: как минимум, поменять пароли. Оевидно, что корпорации сейчас не до оповещения пользователей о возможных проблемах и рисках. А зря.
Плата электроники накопителя информации — устройство сложное. Как любое другое сложное устройство, она может выходить из строя — и случается это, к слову, довольно часто. Диагностировать неисправности платы электроники порой очень легко, а порой — очень не просто. А еще бывают ситуации, когда плату до обращения к нам уже кто-то пытался лечить. В таких случаях, если «лечение» проходило паяльником в стиле «паять ламповые телевизоры», платы имеют весьма характерный вид, и диагностика не вызывает никаких проблем.
Немалую роль при диагностике неисправностей плат электроники играет визуальный осмотр. В этой заметке я продемонстрирую несколько примеров неисправностей платы электроники. Охватить все их многообразие в рамках одной публикации такого рода невозможно, но в качестве отправной точки этого более чем достаточно.
1. Прогоревшие чипы
Электрические разрушения микросхем бывают разного типа, наиболее легко визуально диагностируется так называемый прогар микросхем. В чипах отчетливо видны дырки, часто (при прогаре не сверху, а сбоку) — сгорает также одна или даже несколько ножек микросхемы.
Этот тип неисправностей, как мы видим, диагностировать относительно легко. Лечение производится двумя основными способами: или заменой сгоревшего чипа, или заменой платы электроники.
Серьезно прогоревший чип VCM and motor driver накопителя Western Digital
Тот же чип, увеличение х10. Хорошо видно две медные точки — остатки двух сгоревших проводников
Остатки двух сгоревших проводников микросхемы VCM and motor driver накопителя Western Digital, увеличение х40
Прогоревшая микросхема VCM and motor driver с платы электроники накопителя Seagate
Та же микросхема, увеличение х10
При увеличении х40 видны разрушения компаунда: трещины в самом компаунде и рваные ошметки оболочки чипа
2. Нарушение контакта
Не часто случающийся тип неисправности платы электроники. Может проявляться по-разному: нарушение контакта в интерфейсном разъеме или разъеме питания за счет вдавления проводников при неаккуратном подключении устройства; нарушение контакта между SMD-элементом и платой электроники за счет некачественной пайки, нарушение контакта между отдельными частями платы электроники за счет оборванной или сгоревшей дорожки; нарушение контакта между платой электроники и гермоблоком за счет окислившихся или поврежденных контактных площадок; и пр. Ниже представлены два примера нарушения контакта между гермоблоком накопителя и контактными площадками платы электроники механо-химического происхождения. Штырьки, торчащие из гермоблока, и упирающиеся в контактные площадки, железные, а контактные площадки покрыты олово-содержащим припоем. При долгом контакте железа и олова в условиях повышенной влажности между ними образуется окисловая пленка, препятствующая прохождению сигнала или серьезно его искажающая.
Нарушение контакта между платой электроники и гермоблоком накопителя Samsung
Контактные площадки предыдущей платы, увеличение х20. Темные участки — места нарушения контакта.
Аналогичное предыдущему нарушение контакта между платой электроники и гермоблоком, накопитель HGST
Предыдущая плата электроники, контактные площадки, увеличение х20. Более темные участки — места нарушения контакта.
3. Попытки самолечения
Едва ли не каждый второй диск с неисправностями электроники приходит к нам со следами самолечения. Причем 80% из них — паяются явно не предусмотренными для такой пайки инструментами и припоями. Ниже размещаем несколько примеров таких «работ».
Грустнее всего выглядят попытки паять микросхемы с большим количеством выводов. Обычно это заканчивается тем, что часть выводов или не попадает на предназначенные для них контактные площадки, или (что хуже) замыкает их. При включении платы с такой пайкой можно сжечь и микросхему, и плату.
Просто посмотрите на фото ниже. Нужны ли вам подобные попытки «ремонта», или все-таки лучше обратиться к специалисту?
Следы самодеятельной пайки, увеличение х10
Увеличение х20, то же, что и на предыдущем снимке
Криво посаженный при самостоятельной пайке чип, увеличение х5
Тот же чип, увеличение х30. Отчетливо видно, как ножки микросхемы замыкают контактные площадки.
Некачественная пайка в цепи питания накопителя Seagate
Некачественная пайка в цепи питания накопителя Seagate, увеличение х20. Видно, что плата перегрета. Кроме того, не смыта канифоль, что привело к налипанию на плату большого числа электропроводящего мусора.
Заключение
Это — лишь малая толика того, что может произойти с платой электроники накопителя. Разнообразие неисправностей огромно, далеко не все из них можно диагностировать визуально. Часто для диагностики требуется использование измерительной аппаратуры. Это — наша специальность. Помните: самолечение здесь также вредно, как и в человеческом здоровье, и также может привести к весьма плачевным последствиям.
Задача. Восстановить данные из профессионального диктофона ZOOM Handy Recorder H6.
Описание проблемы. Карта памяти из диктофона была отформатирована в фотоаппарате, данные не видны. При восстановлении данных свободно распространяемым через интернет ПО аудиозаписи повреждены.
Результаты диагностики. В результате форматирования утеряна информация о фрагментации аудиофайлов.
Необходимые для восстановления информации процедуры.
Посекторное копирование карты памяти в образ.
Анализ образа, отделение аудиопотока от остальных данных.
Анализ аудиопотока, реконструкция метода записи диктофона.
Подготовка скрипта для сборки аудиопотока.
Сборка аудиопотока, контроль результата.
Результат.
Данные восстановлены полностью.
Неисправная аудиозапись
Та же аудиозапись после исправления
Особенности заказа.
Диктофон ZOOM Handy Recorder H6 записывает многоканальный звук сразу с нескольких микрофонов и компонует аудиозапись таким образом, чтобы максимально увеличить производительность при записи. При этом особенное внимание уделяется качеству звука — звук записывается в формате wav с высоким битрейтом. Файлы при этом получаются достаточно большими. Для оптимизации записи диктофон пишет эти файлы на носитель фрагментированно.
После форматирования флеш-карты из диктофона информация о фрагментировании теряется, и аудиофайл перестает нормально работать. Восстановленный классическими свободно распространяемыми через Сеть приложениями, такой файл проигрывается, но запись представляет собой смесь звуков.
Размер фрагментов зависит от количества подключенных микрофонов и интенсивности записи. Не имея информации о том, каким образом диктофон записывал конкретный аудиофайл, восстановить правильный порядок и величину блоков невозможно.
В каждой папке проекта (аудиозаписи) диктофона имеется файл-описатель формата hprj. В этом файле содержится вся необходимая информация для сборки аудиофайла, пригодного для проигрывания: величина блоков записи, их расположение и порядок. Поскольку данный формат файлов нигде не описан, нам пришлось самостоятельно разбираться с ним и подготовить на его основе скрипт для нашего сборщика mov-файлов.
Процедура восстановления информации с диктофона ZOOM Handy Recorder H6 заняла в нашей лаборатории 2 часа.
Как только Президент РФ Владимир Путин объявил о том, что в связи с коронавирусом из бюджета России будут совершены выплаты на несовершеннолетних детей — единовременно по 10 000 рублей на ребенка — тут же активизировались разного рода цифровые мошенники. На почтовые ящики пользователей начали приходить письма идентичного или очень похожего содержания: для получения компенсации требуется пройти некую процедуру регистрации на сайте.
Пример фишингового письма
Адрес сайта, где нужно «пройти регистрацию».
На скриншотах выше только один такой сайт; их было 5 разных за три дня активной «бомбежки» нашего специального почтового ящика для спама (некоторое время назад мы зарегистрировали специальный электронный ящик на mail.ru, который постоянно «засвечивается» в Интернете, и на котороый по этой причине приходят тонны спама, фишинга и пр.; это нужно нам для того, чтобы отслеживать тренды, в которых в настоящий момент работает мысль злоумышленников).
Переход на эти сайты чреват серьезными проблемами (именно поэтому название сайта я заблюрил). Проверка на виртуальной машине показала, что два из пяти сайтов загружают на ваш компьютер вредоносное ПО (вирус), начинающее зашифровывать ваши данные с целью в дальнейшем вымогать средства за их расшифровку. На трех из пяти сайтов вас попросят пройти регистрацию, одним из пунктов которой будет указание реквизитов вашей банковской карты (кардерство — воровство данных банковских карт для последующего снятия с них денег).
Не ведитесь на подобное завлекалово, помните, что получить федеральные выплаты можно только через сайт Госуслуги.
*Настоящее сообщение адресовано прежде всего жителям России, Кыргызстана и Казахстана, среди которых достаточно много людей с двойным (Россия — страна рождения) гражданством, на коорых и направлена эта атака.
