Для того, чтобы провести успешное и безопасное восстановление информации, я настоятельно рекомендую выполнять все мои инструкции, здесь написанные, точно и безоговорочно. Любое отклонение от них может стоить вам данных и привести к тому, что восстановить их будет нельзя даже профессионалу. Поэтому если вы не уверены в том, что сможете исполнить все написанное точно так, как написано, если даже чуть-чуть сомневаетесь – не рискуйте, отнесите диск мне. Я заработаю немного денег, вы получите свои данные в целости, сохранности и абсолютно безопасно – все будут довольны. Все, что вы будете делать в рамках самостоятельного восстановления ваших данных, вы делаете на свой страх и риск.
Список необходимого
Что нам понадобится для успешного и безопасного восстановления информации?
1. Диск, с которого удалили данные, отформатировали, потеряли (переразметили) раздел и т.п.
2. Другой (физически другой!!! это очень важно) диск для записи восстановленных данных.
3. Загрузочная флешка сисадмина.
С диском, с которого восстанавливаем данные, все понятно. Обычно он в системе один (физически) и обычно разбит на пару разделов (системный и с данными). Удалили, форматнули, переразметили и т.п. Обнаружили это – вырубаем компьютер и больше с этого диска не грузимся. Почему? Ну, например, файл подкачки, даже если вы ничего не будете записывать на диск, будет использовать «пустые» области диска – а значит, те, где недавно были ваши удаленные файлы. Или после формата вас может начать преследовать искушение незамедлительно установить программу для восстановления данных, убивая ваши же собственные данные. Ну и так далее. В общем, с диска грузиться категорически нельзя.
Другой диск, на который будем копировать восстановленные данные, нужен для того, чтобы не копировать данные на тот диск, с которого данные восстанавливаем. Простая логика. Почему? Да потому что если мы будем писать данные туда же, откуда мы их восстанавливаем, результат вас совсем не обрадует. Короче, скопируем мы может пару десятков файлов нормально, а потом пойдет мусор без возможности отката. Вот тут подробно.
Качаем из интернетов образ загрузочной флешки сисадмина (например, WinPE), на котором уже установлено что-то для восстановления данных (я бы рекомендовал флешку Сергея Стрельца). С помощью программы Rufus записываем этот образ на флешку (обязательно перед этим убедившись, что ничего нужного там нет). Внимание! Скачивать и записывать эту флешку надо на другом компьютере. Помните, что ваш жесткий диск, с которого пропали данные, трогать нельзя!
Все три предмета готовы? Тогда приступаем.
Порядок действий
Загружаем компьютер, в качестве загрузочного устройства указав записанную флешку сисадмина (в ноутбуках при старте внизу экрана обычно показывается сообщение о том, какую кнопку надо нажать, чтобы выйти в загрузочное меню; то же самое и на современных настольных компьютерах). Диск, с которого надо восстановить данные, должен быть подключен. Диск, на который будем копировать данные, тоже должен быть подключен.
Первый экран загрузки диска сисадмина WinPE
Второй экран загрузки диска сисадмина WinPE
Диск сисадмина WinPE почти загрузился
Первый лайфхак: для того, чтобы не перепутать диски и не начать восстанавливать данные с диска для данных, его метка тома должна быть соответствующей. Например, отформатируйте его с меткой тома «FOR RECOVERED DATA». Так вы точно его не перепутаете.
Второй лайфхак: Диск для данных нужно отформатировать как раздел NTFS. Не используйте файловые системы FAT и extFAT, у них имеется куча ограничений – а оно нам надо при восстановлении наших файлов?
Загрузились? Выбираем программу для восстановления, запускаем ее. На советуемой мной флешке имеется R-Studio – вот ее и будем использовать. После запуска программа покажет подключенные к системе диски. Отмечаем тот, с которого нужно восстановить данные, нажимаем правую кнопку мышки и выбираем «Сканировать». Все, теперь можно отдыхать. Нужно дождаться окончания сканирования. Чем больше диск, тем больше на это уйдет времени. Запаситесь терпением.
Запуск программы для восстановления данных
Выбор диска и запуск сканирования
Навигация по результатам сканирования
Наконец, процесс сканирования завершен. Программа покажет разделы, которые она нашла на диске, а также файлы, найденные по сигнатурам. Ну и теперь ваша задача – выбрать из найденного то, что нужно восстановить. Ходим по дереву файлов и папок, смотрим в найденном по сигнатурам, отмечаем то, что нам нужно. После того, как нашли все, что нужно, наступает самый ответственный момент – копирование восстановленного.
Запуск процесса копирования информации
Правым кликом мышки выбираем меню «Восстановить отмеченное» (ну или просто «Восстановить», если вы решили восстановить все) и вот тут – самое главное! В верхней строчке (адресная строка) выбираем тот самый другой диск, который приготовлен нами для копирования восстановленного. Будьте предельно внимательны – выбрав «не тот» диск, вы рискуете навсегда лишиться возможности восстановить ваши данные.
Настройки процесса копирования информации
Затем установите во вкладке «Дополнительно» настройки так, как показано на последнем скриншоте – и запускайте операцию копирования. Установленные настройки при встрече удаленного файла автоматически восстановят его имя заменой первого символа (это делается для того, чтобы вы могли отделить восстановленные удаленные файлы от, скажем, восстановленных результатов форматирования), уберут атрибуты «скрытый» (если они были; это делается для того, чтобы в папке с восстановленными данными были видны все файлы) и пропустят файлы с такими же именами (если, скажем, файл уже существует). Кстати, последнее можно и по-другому организовать – например, переименовывать файлы с такими же именами, если вы не знаете, одна копия файла у вас была или несколько.
Вот такой вот простой способ восстановления информации, если она была удалена, раздел отформатирован или переразмечен.
Если же вы не хотите рисковать, то, скажу я вам, это правильно. У нас есть и проверенные жесткие диски, куда мы восстановим ваши данные, и громадный опыт (больше 25 лет – специалистов с таким опытом в мире немного), и программное обеспечение (как собственное, так и приобретенное). И цены у нас совсем не кусаются. Поэтому звоните, приходите и будьте уверены – мы сделаем все самым наилучшим образом, ведь это наша работа.
Кстати, мы крайне не рекомендуем использовать нелицензионное, сиречь пиратское, ПО, которое распространяется на приведенном в качестве примера диске сисадмина. Вы всегда можете выбрать другое, по настоящему бесплатное ПО для восстановления данных – например, R-Saver.
А что можно сказать про самые-самые устройства для хранения данных, самые-самые случаи восстановления данных, самые-самые интересные факты из этой области? Эта подборка – для вас.
Самый маленький жесткий диск. Диск форм-фактора 0.85 дюйма. Диски этого размера начали массово продаваться в 2007 г. корпорацией Toshiba. Исходя из размеров, основным сегментом, куда планировалось применять эти диски, были мобильные устройства – и действительно, их ставили даже в мобильные телефоны (например, Nokia N91). Со временем NAND-память стала сильно дешеветь, и рентабельность производства таких устройств упала. В настоящее время эти диски иногда поступают на восстановление данных, главным образом из профессиональных видеокамер.
На фото — накопитель форм-фактора 0,85 дюйма
Самый емкий носитель информации. В 2016 г. компания Amazon представила диск на колесах. Емкость устройства составила на то время рекордные 100 петабайт; в настоящее время емкость увеличена еще на 25%. Устройство представляет собой фургон размером с морской контейнер, который установлен на шасси мощного тягача. Этот диск на колесах был назван компанией Amazon Snowmobile за белоснежный цвет гаджета на колесах. Для чего потребовалось создание такого устройства? С увеличением объема данных их передача становится слабым местом всей системы. Даже при гигабитной сети передача одного петабайта данных займет не менее 20 лет. Snowmobile перевезет тот же объем информации за 2 месяца. Это достигается очень просто: скорости локальных сетей гораздо выше, чем скорость интернет-соединения, и снежная машина, подключившись к локальной сети компьютера, с которго требуется забрать данные, выкачивает их на максимальной возможность скорости до 100 Гигабит/с; на стороне сервера соединение еще быстрее, поэтому передача данных на результирующий сервер обычно занимает меньше времени.
На фото – жесткий диск на колесах от компании Amazon; фото взято с сайта Amazon.
Самый первый жесткий диск. Он же и самый тяжелый. Он же самый большой. Это диск IBM 350, представленный 4 сентября 1956 г. Это был громадный шкаф, шириной 1.5 м, высотой 1.7 м и длиной 74 см. Вес устройства составлял почти тонну. Внутри устройства находилось 50 «блинов» диаметром 61 см. Несущим данные слоем была специальная краска, содержавшая мелкодисперсные частицы ферромагнитных элементов. Объем диска составлял 3.75 Мбайт.
На фото – жесткий диск IBM 350 в музее
Самый первый жесткий диск форм-фактора 3,5 дюйма был выпущен корпорацией Seagate, его объем равнялся 5 Мбайт, а стоимость составляла около 1500 долларов США. Именно этот диск стал эталоном при создании компьютеров архитектуры IBM AT и IBM XT, а также при составлении первых стандартов передачи данных, принятых основными игроками на рынке IT в то время. ST-506 (именно так назывался тот жесткий диск), без преувеличений, является самым-самым важным устройством в череде продуктов этой компании и всей индустрии, так как позволил ее стандартизировать.
На фото – один из первых жестких дисков форм-фактора 3.5 дюйма
Самый первый жесткий диск для ноутбука (форм-фактор 2,5 дюйма) был выпущен также компанией Seagate, произошло это в 1991 г., а объем такого накопителя составлял 40 Мбайт.
На фото – один из первых накопителей для ноутбуков от компании Seagate. Фото предоставлено Д. Шмыглевым (Симферополь, Крым)
Самые известные жесткие диски Barracuda производства компании Seagate ведут свою историю с 1992 года, когда был выпущен первый диск под этим брендом. Существенным отличием нового диска была скорость вращения его шпинделя – это был самый-самый первый жесткий диск со скоростью вращения шпинделя 7200 оборотов в минуту. Емкость первых накопителей Seagate Barracuda 2LP составляла 1 и 2 Гбайт: это был самый-самый первый жесткий диск, перешагнувший предел в 1 Гбайт.
На фото – жесткий диск Seagate Barracuda третьего поколения
Самые оборотистые жесткие диски были разработаны компаниями Seagate (накопители Seagate Cheetah со скоростью вращения шпинделя вначале 10 000 оборотов в минуту, а затем и 15 000) и Western Digital (накопители Raptor со скоростью вращения шпинделя 15 000 оборотов в минуту). Первые изготавливались с интерфейсом SCSI, а затем и SAS, вторые – традиционный интерфейс SATA.
На фото – накопитель Seagate Cheetah со скоростью вращения шпинделя 15 000 оборотов в минуту
Самая первая флешка была создана израильской компанией M-Systems в 1999 году (апрель 1999 г. – официальная регистрация патента). В 2000 г. была выпущена первая серийная флешка емкостью 8 Мбайт, которая стоила 50 долларов США. Немного позже, к концу 2000 г., были выпущены флешки емкостью 16 и 32 Мбайт. Годом позже компания Mitsubishi приступила к выпуску первых карт памяти; карта Mitsubishi SRAM Card выпускалась в редакциях 1, 2 и 4 Мбайт и имела интерфейс PCMCI.
На фото – карта памяти Mitsubishi SRAM емкостью 1 Мбайт
Самый дорогой жесткий диск для персонального компьютера стоил 4999 долларов США, это был диск емкостью 18 Мбайт производства компании North Star Horizon. Только подумайте – 1 мегабайт дискового пространства стоил когда-то около 280 долларов США! За такие деньги сейчас вы можете приобрести жесткий диск объемом 14 Тбайт.
На фото – выдержка из рекламного постера компьютерных систем North Star Horizon, с ценой на новый на то время диск емкостью 18 Мбайт
Самое известное восстановление данных. В 2008 году американским специалистом по восстановлению данных Джоном Эдвардсом, работающим в компании Kroll Ontrack, были восстановлены примерно 80% данных с накопителя Seagate емкостью 400 Мбайт, пострадавшего в результате крушения шаттла Columbia. Работа по восстановлению данных с обугленного и сильно пострадавшего при падении с высоты в 63 километра жесткого диска заняла около 5 лет; стоимость этой работы не разглашается, однако, исходя из того, в каком состоянии находились пластины диска (диск был сильно оплавлен, а пластины сплавлены вместе и представляли собой почти монолитную структуру), можно предположить огромный объем научных исследований, направленных не только на безопасное разделение потоков данных на разных сторонах пластин, но также и на возврат намагниченности пластин, так как при взрыве шаттла накопитель подвергся воздействию температур в несколько тысяч градусов и неизбежно прошел точку Кюри, а стоимость комплекса таких исследований с последующей реализацией их в виде технологии восстановления данных можно оценить в несколько десятков миллионов долларов США. Все это позволяет заключить, что для некоторых компаний по восстановлению данных в настоящее время перегрев диска и его температурное размагничивание не являются препятствием для восстановления информации.
Снимок экрана с сайта Ontrack Kroll с рассказом о том, как восстанавливались данные из жесткого диска с шаттла Columbia
Самый удачный жесткий диск и самый неудачный жесткий диск в истории индустрии по производству HDD по роковому стечению обстоятельств – одно и то же устройство. Это диск форм-фактора 3.5 дюйма компании Fujitsu, выпускавшийся под названием Fujitsu MPG. Диски этого семейства имели емкость 10, 20, 30 и 40 Гбайт (от 1 до 4 головок, максимально 2 пластины) и обладали фантастическим качеством механики. Довольно часто при таком объеме эти диски не содержали дефектов в заводском дефект-листе (Р-лист), а значит, их поверхности были абсолютно идеальными. То же самое можно сказать и о их головках и системе позиционирования. Использованная технология адаптивных параметров подстройки головки под трек с отклонениями от абсолютного круга (RRO – Repirable Run Out) делала работу системы позиционирования исключительно точной и абсолютно надежной. К сожалению, при изготовлении этих дисков была совершена роковая ошибка – в их основной микросхеме (микроконтроллер) был использован фосфор-содержащий компаунд, который накапливал воду из окружающего воздуха, и в один «прекрасный» момент диск переставал определяться в системе. Прогрев основной микросхемы часто приводил диск в работоспособное состояние, но на очень непродолжительное время. Количество отказов этих дисков носило столь массовый характер, что корпорация Fujitsu отозвала с рынка все проданные устройства, а подразделение, выпускавшее трехдюймовые жесткие диски, было закрыто и не функционирует до сих пор. Ходили неподтвержденные слухи, что управляющий директор этого подразделения сделал харакири, но они не были официально подтверждены.
На фото – легендарный накопитель Fujitsu MPG
Самое курьезное восстановление данных в моей практике случилось совсем недавно, месяца два назад. На восстановление информации прибыл жесткий диск для ноутбука Western Digital емкостью 500 Гбайт. В качестве донора был предложен такой же диск, но емкостью 250 Гбайт. Клиент настаивал на том, что ему где-то кто-то определил, что у диска неисправна головка номер 1, то есть вторая снизу, а остальные головки исправны. Поэтому заем тратить на донора на 10 баксов больше, если у этого диска в 250 Гбайт имеется две головки, и как раз – 0 и 1. Определенная доля истины в словах заказчика имелась, да и диагноз оказался правильным, поэтому я отчитал больной диск по трем исправным головкам, затем «уронил» его в сон, сделал замену головок из донора (только 2 головки из 4), стартанул «уснувшую» плату и, не без танцев с бубном, считал последнюю поверхность. Столь прошаренного и экономного клиента я встретил в первый раз в своей жизни =).
На фото – рутинная работа по восстановлению информации – клонирование неисправного накопителя
Самый наглый обман с емкостью накопителей до сих пор демонстрируют почти все производители этих устройств. Для расчета емкости они используют значение 1000 Мбайт на 1 Гбайт, хотя на самом деле в гигабайте 1024 Мбайта. Это приводит к тому, что емкость устройства, которое вы покупаете, сильно отличается от заявленной. Скажем, если на жестком диске написано 500 Гбайт, то по факту он будет отформатирован на 465 Гбайт. Увы, но ситуация не меняется десятилетиями: маркетологам намного проще делать громкие заявления об очередном прорыве емкости, оперируя тысячамегабайтным гигабайтом, чем реальным, 1024-мегабайтным.
На фото – накопитель Seagate Barracuda с заявленной емкостью 4 Тбайт, который форматируется системой на 3.6 Тбайт
Самый оптимальный режим работы жесткого диска. Корпорация Google в 2007 г. проанализировала работу около 100 000 жестких дисков в своих хранилищах и выяснила, что наименьшее количество отказов и наибольшую производительность обеспечивают диски, работающие при температуре около 40 градусов по Цельсию. Смещение температурного режима в направлении увеличении температуры заметно снижает эффективность работы дисков уже при превышении оптимального значения на 5 градусов; то же самое наблюдается и при уменьшении температуры, но уже на 10 градусов.
На фото – простое подключение дисков к компьютеру «гроздью», весьма далекое от оптимального
Самый странный закон Мура: объем жестких дисков на протяжении всей их истории ежегодно удваивается. В текущем году максимальный объем жестких дисков в сегменте настольных компьютеров в продаже составляет уже 14 Тбайт, а значит, что к концу 2019 г. в продаже должны появиться диски емкостью 28 Тбайт. И это вполне реальная перспектива, так как использование технологии двойного актуатора MACH.2 и разработанной корпорацией Toshiba технологии записи MAMR позволяет увеличить в первом случае количество работающих в диске пластин в 2 раза, а во втором случае – увеличить плотность записи минимум на 50%.
На фото – три поколения мобильных телефонов Apple iPhone с емкостью 8, 16 и 32 Гбайт
Самый большой разброс в объеме жесткого диска получается, если сравнить современный емкий накопитель (14 Тбайт) с первым в мире жестким диском (3.75 Мбайт). Разница между этими дисками составит 3 823 047 раз. При этом современный накопитель больше чем в тысячу раз легче первого и почти в 10 000 раз меньше его по размерам. Если же рассчитывать разницу между современными SSD серверного сегмента (100 Тбайт), то разница составит больше 27 000 000 раз! Таким образом, за почти 60 лет истории разработок и производства жестких дисков их объем был увеличен в миллионы раз, а размеры уменьшены в тысячи раз. Потрясающе, не правда ли?
На фото – монолитная флеш-карта емкостью 32 Гбайт. Для того, чтобы организовать такую емкость в 1956 г., с использованием первого жесткого диска IBM-350, потребовалось бы 8,5 млн. тонн первых жестких дисков
Самый первый стандарт в области передачи данных принадлежит компаниям Western Digital и Compaq. Этот стандарт носил название IDE (Integrated Drive Electronics) и был внедрен в 1986 г. До сих пор по названию этого стандарта жесткие диски с параллельным интерфейсом часто называют IDE-дисками.
На фото – жесткий диск с интерфейсом SCSI, одной из разновидностей IDE
Самый первый АТА-стандарт, т.е. стандарт передачи данных в его современном виде, появился в 1994 г. и носил название АТА-1. Разработка АТА-стандартов завершилась в 2002 г. с выпуском седьмой версии стандарта (АТА-7). С 2003 г. развивается стандарт SATA, накопители с интерфейсом PATA более не выпускаются. В настоящее время активно развивается стандарт SATA 3.2, позволяющий поднять производительность интерфейса до 16 Гбит/с.
На фото – жесткий диск Seagate с интерфейсом PATA (IDE).
Самый быстрый интерфейс накопителей данных на настоящий момент – интерфейс NMVe. Диски с этим интерфейсом работают на скорости PCI-Express шины, их производительность достигает сотен тысяч IOPS при пропускной способности несколько десятков Гбит/с.
Твердотельный накопитель Samsung с новейшим интерфейсом NMVe
Самый вредный миф о восстановлении данных заключается в том, что жесткий диск можно просто открыть, и ничего при этом не случится. На практике при открывании жесткого диска в условиях, далеких от необходимых (вне чистого бокса, без предварительной очистки корпуса и т.п.) в гермозону накопителя немедленно попадает огромное количество мусора, которое приводит к очень быстрому выходу диска из строя в случае его включения.
На фото – последствия самостоятельной разборки жесткого диска с его последующим включением
Самый широко распространенный интерфейс накопителей информации на текущий момент – интерфейс SATA. Более 60% всех устройств этого типа оснащены данным интерфейсом. Второй по распространению – интерфейс USB, им оснащено около 25% всех устройств данного типа. Интерфейсы других типов (SCSI, SAS, Fibrechannel, Thunderbolt и т.п.) составляют в современных устройствах хранения данных не более 15%.
Почему нельзя ронять жесткий диск? Вроде бы современные накопители на жестких магнитных дисках анонсируются как ударостойкие, выдерживающие серьезные нагрузки, но… К сожалению, как бы ни старались производители увеличить ударостойкость дисков, в устройстве, где имеются две оси, большая масса крутящихся кусков стекла и пружинящие головки, удар всегда будет сопровождаться какими-нибудь деформациями, повреждениями или разрушениями.
В этом видео мы рассказываем и показываем, что бывает с жестким диском, если его уронить.
Предупреждаю, что повторение наших опытов может привести к выходу из строя вашего диска и, с большой долей вероятности, к потере данных с него. Поэтому настоятельно не рекомендую повторять наши опыты на устройствах, которые для вас ценны или содержат важные для вас данные.
О шифровальщиках и троянских конях мы недавно поговорили, время поговорить о еще одном довольно широко распространенном компьютерном зле – майнерах криптовалют.
Когда криптовалюты только появились, не так уж и много народа верило в эту затею. Однако когда биткоин начал бить рекорды по обменному курсу, в майнинг ударилась масса людей. Кто-то ставил на ночь свои игровые компьютеры «майнить биток», кто-то собирал специальный компьютер для майнинга, кто-то покупал асики (специальные устройства, которые ничего, кроме майнинга, не делают). Были (и остаются) умники, которые настраивали майнинг на работе – новости о таких господах время от времени мелькают и по телевизору, и в Интернете.
Однако все это, несмотря на то, что направлено непосредственно на «добычу» криптовалют, не слишком выгодно: майнинг идет с весьма серьезными нагрузками на компьютер, который при этом пожирает массу электроэнергии. А за электричество, конечно же, надо платить. В итоге «выхлоп» от легального занятия майнингом ненамного превышает счет за электроэнергию – а ведь надо еще поддерживать в нормальном состоянии компьютер, который добывает вам цифровые деньги, ремонтировать выходящие из строя узлы (а при активном использовании износ идет быстрый и жесткий). Да уж…
Наиболее «светлые» головы вирусописательства подумали и решили: а зачем майнить самостоятельно? Зачем платить за электричество самому? Можно ведь написать модуль, который будет заражать чужой компьютер и занимать его вычислительные мощности в пользу написавшего. А счета за электричество будут приходить хозяину зараженного компьютера. Так и родилась идея вируса-майнера.
«Дроппер» от слова «drop»
Естественно, сам по себе майнер на вашем компьютере не установится – его надо скачать, установить, запустить, замаскировать под что-то безобидное, настроить – в общем, масса разных акций для того, чтобы он работал и не вызывал подозрений. И как, скажете вы, всего этого добиться?
Довольно просто. Заставить вас запустить приложение, которое «доставит» на ваш компьютер вирус-майнер, установит его, настроит, внесет в исключения вашего антивируса и т.п. И не просто заставить вас его запустить (этого мало), но запустить его с правами администратора. Только запущенное с правами администратора приложение способно внести на ваш жесткий диск все изменения, которые нужны злоумышленнику.
Распространять такой вирус через вложения в электронной почте или фишинговые ссылки неэффективно – никто же не будет запускать какое-то левое приложение с правами админа, так? И как же быть? Да просто. Прятать вирус в каком-то приложении, которое вы в любом случае запустите с правами администратора. Как правило, такие приложения – разные кейгены и кряки, а кроме них – дистрибутивы некоторых других приложений. Такие приложения называются «дропперы», от английского drop – «сбросить». Единственная функция дроппера – доставить на ваш компьютер установщик майнера и набор скриптов для его настройки. Как только вы запускаете такое приложение с правами администратора, тут же начинается бешеная активность вашего трафика, активно устанавливаются и выполняются какие-то модули, пишутся многочисленные ключи в реестр. В результате вы становитесь счастливым обладателем вируса-майнера. Поздравляю =).
Помните главное правило компьютерного пирата: кейгенам и крякам (кроме, пожалуй, только патчеров) не нужны права администратора. Если генератор ключей требует запуска с правами администратора, значит он собирается менять содержимое вашего диска. Подумайте – а оно вам надо? А может там не майнер будет, а шифровальщик? В систему-то вы файл этот уже пустили, антивирусы он уже обошел – и теперь заражение вашего компьютера зависит только от вас, и больше ни от кого.
Как работает майнер?
Многие мирно сосуществуют с вирусами этого типа годами. Кто-то и вообще их не замечает (железо мощное, что там в фоне компьютер делает, пользователь не обращает внимания). Но основная причина долгой жизни майнеров на компьютерах пользователей – относительная незаметность их работы. Они созданы таким образом, что все ресурсы системы не занимают, т.е. пользователь вполне себе комфортно работает на своей машине, а майнер «отъедает» ровно столько процессорной мощности и оперативной памяти, сколько нужно для того, чтобы его работа не была заметной. Доходит до того, что майнер может на время отключиться, если пользователь запускает ресурсоемкое приложение – компьютерную игру, Adobe Photoshop с аппаратной акселерацией работы с графикой (технология CUDA), 3D-редактор и т.п.
Майнер всегда запускается вместе с системой – иначе он просто не будет работать, ведь не будете же вы специально запускать эту программу. То есть он должен присутствовать в автозагрузке приложений или служб – как правило, в последнем, так как этот тип автозагрузки сложнее мониторить и намного сложнее принимать решение об отключении автозагрузки службы, чем приложения. По сути, из автозагрузки приложений можно выключить абсолютно все без вреда для системы, а вот если «погасить» загрузку какой-то службы, можно потерять и саму систему.
После того, как майнер загрузился в память, он начинает делать то, для чего создан – использовать ваши вычислительные мощности для генерации криптовалюты. С какой интенсивностью он будет это делать – зависит от настроек, но обычно обнаруживать себя он не дает.
Важно сказать о бот-сетях. Раньше мы уже о них говорили (когда обсуждали троянские вирусы). Майнеры также могут объединяться в бот-сети для более эффективного майнинга криптовалют; некоторые бот-сети достигают размеров нескольких тысяч машин.
И как же его обнаружить?
Не так-то просто обнаружить майнер =). Тем более, что антивирусы не определяют майнеры как вирусы, так как это по сути не вредоносные программы (мало ли, может вы сами майните), хотя при сканировании системы вполне могут выдать отчет о том, что обнаружены подозрительные программы, которые что-то там майнят.
Дропперы легко определяются антивирусами, но, как правило, пользователь относится к предупреждениям антивируса при установке взломанного ПО недоверчиво: мол, это специально в антивирусы встроено, чтобы с пиратским софтом бороться. На самом деле антивирусу все равно, кейген он сканирует или образ «официального» дистрибутива MS Windows: если там есть вирус или подозрительная программа, он просигналит.
Если же вы установили такую программу, это автоматически означает, что вы допустили в свою систему вирус. Майнер это, троян или что-то еще – выяснить можно только, запустив полное сканирование авнтивирусной программой.
Вообще, я рекомендую регулярное антивирусное сканирование – просто для того, чтобы знать, какие программные фантомы прописываются в вашей системе. Активность многих программ в настоящее время очень просто скрыть, а сюрпризы в виде увеличившегося счета за электричество обычно никто не связывает с работой компьютера. После того, как антивирус отсканирует компьютер, вы получите отчет, в котором, кроме однозначных угроз, хороший антивирус перечислит и программы подозрительные – в их число обычно включаются и майнеры. Если вы сами майнингом криптовалют не занимаетесь – значит, кто-то наживается за ваш счет, и пришло время обломать его нетрудовые доходы. Удаляйте без сожаления все то, что вы не ставили, не давайте злоумышленникам шансов заработать на вашей доверчивости.
И здоровья вашей системе, программного и аппаратного.
Знакомство с этой группой зловредов я начну с поучительной истории.
Однажды ко мне обратился мой хороший знакомый с просьбой разобраться, как оказалось так, что с банковского счета его небольшой фирмы была списана вся имевшаяся там сумма. Расследование оказалось недолгим: оказалось, что все деньги были просто перечислены через клиент-банк на другой банковский счет, оттуда – на какую-то банковскую карту, зарегистрированную на бомжа, ну а после этого банально получены наличкой через банкомат. Естественно, в осуществлении этой схемы тут же заподозрили бухгалтера фирмы, но она оказалась не при чем. На компьютере бухгалтера был обнаружен хитрый вирус-бэкдор, который позволил злоумышленнику зайти на компьютер бухгалтера во время обеденного перерыва и провести банковский платеж. Бухгалтер (да и директор компании) ничего не подозревал до того момента, когда потребовалось оплатить очередные услуги – тут то и оказалось, что банковский счет фирмы пуст, а денежек уже давно и след простыл.
Итак, бэкдоры. Это довольно большая группа вирусов, которые объединяет одно общее свойство: их основное предназначение. Это предназначение – получить доступ к атакуемому компьютеру или к тем сведениям, которые пользователь на нем хранит. Другое название бэкдоров – трояны (троянский конь – способ овладения городом Троя, когда греки спрятались внутри массивной фигуры коня, которого они оставили под стенами Трои; доверчивые троянцы внесли его в город, а ночью греки выбрались из коня и открыли ворота города поджидавшим их войскам).
Троянские программы принято делить на типы по тому, каким образом они наносят вред. Вот эта классификация:
1) Программы для обеспечения удаленного доступа к компьютеру, или бэкдоры в узком смысле. Методов «открывания» дверей очень много – начиная от открытия какого-то порта, и заканчивая установкой специализированного ПО или протокола (типа стандартного RDP), через которое злоумышленник может беспрепятственно проникать на компьютер тогда, когда он включен.
2) Программы для сбора и передачи злоумышленнику данных, которые вводятся с клавиатуры (кейлоггеры). Работа таких программ обычно почти никак не обнаруживается, все, то они делают – дублируют нажатия клавиш на клавиатуре компьютера (и, некоторые из них, могут еще записывать движения курсора мышки) в особый лог-файл, который, с определенной периодичностью, отправляется злоумышленнику. Для чего это делается? Например, вы совершаете покупки в интернете, и вводите с клавиатуры данные своей банковской карты. Эту информацию кейлоггер передаст злоумышленнику, и, кроме вас, использовать карту сможет и он. Именно поэтому сейчас более безопасно использовать системы платежей, привязанные к определенному смартфону и проходящие аутентификацию по отпечатку пальцев – они практически полностью невосприимчивы к взлому. Но традиционных пользователей компьютеров, вручную вводящих данные своих банковских карт, еще очень много.
3) Деактивация систем безопасности компьютера (отключение антивируса, сетевого экрана, файерволла и т.п.) – обычно предшествует внедрению бэкдора, но может быть и отдельной функцией, например, для обеспечения возможности DDoS-атаки. Логично, что при активной системе безопасности заразить компьютер совсем не просто, поэтому атака может состоять из нескольких этапов: проникновение программы-деактиватора; деактивация защиты; загрузка основного кода вируса и его установка в системе; «обучение» охранных систем компьютера взаимодействию с зловредной программой (включение ее в список исключений); запуск систем безопасности. Таким образом компьютер заражается так, что заподозрить факт заражения практически невозможно – ведь системы безопасности компьютера продолжают работать, а сама атака обычно длится очень непродолжительное время. Как правило, таким образом атакуются сервера, контроль над которыми злоумышленник планирует осуществлять продолжительное время.
4) Программы для распространения какого-то контента. При этом ваш компьютер становится ретранслятором спама: для его распространения могут использоваться ваши мессенджеры, электронная почта, аккаунты в социальных сетях, и т.п. Как правило, распространяется два вида контента – или банальный спам, или какой-то вирус, причем не обязательно тот же, которым заражена ваша машина.
5) Организация распределенных вычислений. При этом ваш компьютер становится участником бот-сети, основной функцией которой является осуществление крупных массивов вычислений (например, взлом пароля методом брут-форса). Бот-сети – это прекрасное изобретение современных хакеров, которые делают взлом казавшихся до текущего момента стойкими алгоритмов шифрования относительно простым. Представьте: у вас имеется файл, зашифрованный ключом длиной 2048 бит. Для брут-форса этого ключа требуется 1 000 000 000 (1 миллиард лет). А теперь представьте, что для его брут-форса используется не один компьютер, а 100 000. Каждому из компьютеров передается файл и назначаются границы брут-форсинга (от значения Х0 до значения Х1 компьютеру 1, от значения Х1 до значения Х2 компьютеру 2, и так далее). При этом подходе требуется уже не 1 миллиард а 1000 лет. Все равно, много, не так ли? А если вывести каждый брут-форс отдельным потоком, и сделать каждый поток использующим одно ядро процессора? Скажем, у нас имеется 100 000 двухъядерных процессоров. Это уже 500 лет. А если пойти еще дальше, и внедрить виртуализацию? Каждому ядру назначить по десятку независимых виртуальных потоков? Это уменьшит время перебора в 20 раз, т.е. с 500 до 25 лет. Видите, как из невообразимого одного миллиарда лет мы дошли до уже вполне приемлемых 25? А если бот-сеть состоит не из 100 000, а из полумиллиона машин? Это дает возможность «ломать» файл, защищенный, казалось бы, невообразимо надежным шифрованием, за 2 месяца! Вот почему очень у многих людей «живут» троянцы, которые вообще не проявляют никакой зловредности – их функция заключается в том, чтобы предоставлять злоумышленнику доступ не к вашему компьютеру как таковому, а к его вычислительным мощностям.
Насколько опасен каждый из этих типов троянцев? Увы, но нельзя говорить, что какой-то из типов троянцев более опасен, а какой-то – менее. Опасны они все. Просто у них разные функции, и, скажем, если ваш компьютер просто ретранслирует какое-то сообщение, заражая троянцем другие машины, то лично вас прямой вред от этого может и не коснуться, но совокупный вред, который работа троянца на вашем компьютере нанесет в целом, будет велик. Исходя из этого, любой тип бэкдора должен незамедлительно обнаруживаться и удаляться.
Распространение троянских вирусов происходит обычно также, как распространение других вирусных программ, но всегда сопряжено с определенными факторами. Главный из этих факторов – первый запуск троянской программы или ее загрузчика в вашей системе должен быть однозначно совершен или санкционирован вами. Если вы не запустите троянца или программу, которая скачает и установит его в ваш компьютер, он не сможет у вас появиться. Поэтому, как и в случае с вирусами-шифровальщиками, важным моментом защиты является внимательность и правильная работа firewall.
Другой фактор – это ваша антивирусная защита. В случае с троянскими программами антивирусы справляются очень хорошо, так как алгоритмы эвристического анализа почти безошибочно определяют программу, как зловредную. Установив хороший антивирус с постоянно обновляемыми базами и активированными функциями эвристического и логического анализа, вы обезопасите себя от внедрения троянского коня почти на 100%.
Третий фактор – это макросы и встроенный язык Visual Basic, используемый в приложениях Microsoft Office. Спрятать в макросе загрузчик вредоносного кода злоумышленники догадались на второй день после того, как Microsoft начала поддерживать макросы в Office. Получая по почте документ MS Word или таблицу MS Excel, будьте внимательны, и, прежде чем разрешать выполнение макросов этим документом, проверьте его на вирусы. Современные продукты MS Office поддерживают функцию защищенного просмотра – она активируется для любых файлов, скачанных из интернета. Для просмотра присланных документов защищенного просмотра обычно хватает, если источник файла является подозрительным или вам не известен – лучше не включать редактирование документа и не разрешать исполнение макросов.
Для того, чтобы на вашем компьютере не было «сюрпризов» в виде троянских программ, следуйте трем простым правилам.
Правило первое. На вашем компьютере должен стоять хороший антивирус со свежими антивирусными базами и включенными функциями эвристического анализа.
Правило второе. Еженедельное сканирование диска на предмет поиска вирусов. Понимаю, что сканирование может занимать много времени, однако оно необходимо, и необходимо регулярное. Запланируйте антивирусу сканирование всех ваших дисков, скажем, на ночь, и просто оставьте компьютер включенным этой ночью. Для того, чтобы во время работы компьютер нельзя было взломать извне, сеть от него можно отключить. При сканировании компьютера лучше не оставлять опцию автоматического удаления найденных угроз – некоторые слишком подозрительные антивирусы могут удалить и нужные файлы, заподозрив в них вирусы – поэтому лучше, если результатом сканирования будет формирование отчета с обнаруженными угрозами, по каждой из которых вы будете принимать решение самостоятельно.
Правило третье. Внимательное отношение к трафику входящих файлов и сообщений и отфильтровывание тех, которые явно несут вредоносное ПО. Об этом я уже говорил ранее на примере вирусов-шифровальщиков.
И помните. Троянские программы создаются не забавы ради, их основная функция – извлечение пользы из ваших данных, вашего компьютера. Поэтому «сосуществовать» с ними категорически нельзя. Восстановление данных и восстановление украденных денег – это совершенно разные задачи, лучше не доводить до того, чтобы киберпреступники имели возможность украсть ваши реальные деньги с использованием вашего же компьютера.
Безопасного вам интернета и не терять ваши данные!
Каждый третий звонок, который мы получаем, касается вирусов-шифровальщиков. Пользователь обнаруживает потерю данных слишком поздно, когда данные уже зашифрованы, и обращается к нам за помощью с расшифровкой. Увы, помочь мы можем не всегда. Однако, как говорится, профилактика лучше лечения – потому сегодня мы поговорим с вами о криптовирусах, как они работают, чем опасны, в каких случаях можно расшифровать данные и как обезопасить себя от их негативного воздействия.
Что такое вирус-шифровальщик?
С появлением стойких алгоритмов шифрования шифрование как услуга или опция стало весьма популярно. Зашифрованные разделы с данными (BitLocker в Windows, FileVault в Mac и пр.), зашифрованные массивы данных (к примеру, сквозное шифрование Viber или WhatsApp), зашифрованные файлы (встроенное шифрование MS Office, WinRar и пр.) – все это примеры полезного применения функции шифрования. Да что там говорить – шифруются целые устройства (к примеру, iPhone под управлением iOS выше 10 версии или внешние жесткие диски Western Digital My Passport).
Однако стойкие алгоритмы шифрования привели к появлению прослойки граждан, решивших, что шифрование файлов может принести хороший нелегальный доход. Данные пользователя шифруются без его согласия, после чего пользователю предлагается заплатить денег за расшифровку. На заре возникновения этой заразы она не была популярной, так как узким местом в ее реализации была оплата: при желании правоохранительные органы легко вычисляли злоумышленника, что влекло неотвратимое и суровое наказание. Однако развитие технологий привело к возникновению криптовалют. Отследить, кому вы сделали перевод в биткоинах, крайне сложно, а использовать виртуальные деньги очень легко, поэтому, как только криптовалюты прочно вошли в нашу жизнь, в нее также прочно вошли криптовирусы.
Вирус-шифровальщик – это зловредная программа, которая разработана с единственной целью – зашифровать ваши данные. После того, как вирус выполнит свою работу, он даст вам об этом знать: либо покажет на экране при следующем запуске системы сообщение о том, что ваши файлы зашифрованы, либо положит в корень каждой папки с зашифрованными файлами соответствующий файлик с объяснением (обычно это текстовичок с пугающим названием «FILES ARE ENCRYPTED.txt» или подобным). В принципе вы и сами поймете, что с вашими файлами что-то не так, когда попробуете открыть один из них.
Несколько слов о шифровании
История шифрования восходит корнями к античности, и ее основное применение было на протяжении многих тысячелетий связано почти исключительно с военным делом. Зашифрованные военные или разведывательные депеши заставляли ломать головы контрразведчиков многих государств – достаточно вспомнить хрестоматийную историю с немецкой шифровальной машиной «Энигма» и окружающие взлом ее кода легенды. Однако важно понимать, что до 50-х годов прошлого века все шифрование крутилось вокруг аналоговых данных, и, в силу этого, для взлома такого шифра требовалось достаточно небольшое количество попыток, или, как говорят математики, итераций. То есть фактически любой аналоговый код оказывался весьма уязвимым для расшифровки и не мог считаться абсолютно устойчивым (надежным).
Другое дело – цифровые методы шифрования. Естественно, начало этим методам положили методы аналоговые, но очень скоро разработчики компьютерных кодов поняли, что у них практически нет ограничений по объему используемых алгоритмов, ведь компьютер может производить сотни тысяч операций в секунду и оперировать громадными объемами данных. Поэтому от имитации аналоговых методов шифрования типа подмены одного символа другим (или другими в каком-то цикле), исключения символа или повторения символа в закодированной последовательности, разработчики методов шифрования быстро перешли к более надежным методам цифрового шифрования. Первым из них, и наименее стойким, оказалось простое наложение. Суть этого метода проста: на определенные данные накладываются другие данные, а взаимодействия между этими данными описывает какое-то математическое действие. Соответственно, для того, чтобы получить исходные данные, требуется определить, какое именно математическое действие произведено над ними и какое число на эти данные наложили. Имея эту информацию, вернуть данным первоначальный вид ничего не стоит.
Поясню на примере.
Скажем, у вас есть массив данных вида: 1 2 3 4 5.
Для их шифрования применяется число 1, а алгоритм шифрования – сложение. Тогда после зашифровки вы получите данные вида: 2 3 4 5 6 (1+1, 2+1, 3+1, 4+1, 5+1).
Для того, чтобы вернуть данным первоначальный вид, вы должны определить, что использовано число 1, которое складывалась с первоначальными данными. Просто отняв от текущих данных единицу, мы снова получим незашифрованные данные.
Логично, что этот метод оказался слишком простым для расшифровки, поэтому его начали модифицировать. Одна из модификаций – XOR, когда на данные накладывается битовая маска с определенным периодом (скажем, на первые 100 байт данных накладывается, затем 20 байт – нет, потом 200 байт снова да, и так в цикле), а суть наложения – получение результата логического оператора XOR в тех местах, куда маска наложена для определенного набора символов.
Вроде бы, сложно? Но на самом деле, как оказалось, нет. Тут же были написаны соответствующие программы, которые искали эти цикличности в массивах данных, и по ним расшифровывали алгоритмы наложения и математических трансформаций.
В настоящее время распространено шифрование с использованием ключа. При этом сам алгоритм шифрования для стойкости зашифровки не имеет большого значения – значение имеет только ключ. Чем он длиннее, тем больше возможных комбинаций и тем больше времени требуется на то, чтобы определить, какая именно комбинация «откроет» доступ к данным. В настоящее время ключ длины 128 бит «ломается» примерно за час, минимальная длина ключа для обеспечения достаточно стойкого шифрования составляет 1024 бит, а большинство хакеров использует в криптовирусах ключ длиной 2048 бит и больше (атакой «в лоб», простым перебором, такой ключ будет подбираться несколько миллиардов лет).
Как избежать заражения криптовирусом
Существует заблуждение, что хороший (или платный) антивирус обязательно убережет вас от воздействия шифровальщика. Увы, но это именно заблуждение. Новейшие типы вирусов-шифровальщиков легко (и это ключевое слово) преодолевают защиту даже самых современных антивирусов с наисвежайшими базами и полностью активированной защитой. Я настолько часто вижу жертв воздействия криптовирусов, имеющих официальную подписку на антивирусы известных брендов, что давно уже скептически смотрю на всю эту антивирусную «защиту».
Единственный надежный метод уберечься от шифрования ваших данных злоумышленником – не пустить вирус на ваш компьютер. И, как следует из абзаца выше, антивирус в этом может и не помочь, то есть надеяться приходится только на себя и на свое внимание.
Как криптовирус попадает на ваш компьютер
1. Наиболее распространенный способ — вы получаете электронное письмо с вложением. Это вложение и есть или собственно вирус, или программа, которая запускает его скачивание и установку на ваш компьютер. Вложение имеет вид или документа, или картинки, с двойным расширением (хотя может быть и не спрятано, а представлять собой программу сразу же). Например, это замаскированный под pdf исполняемый файл. Злоумышленник меняет иконку файла так, что он выглядит как pdf, но стоит вам его запустить, как оказывается, что это что-то другое. Файлы с двойным расширением запускать категорически нельзя, пусть даже в названии присутствует «я в купальнике на пляже» (да даже если и без купальника…). Двойное расширение – это всегда ловушка.
2. Через социальные сети и мессенджеры. Второй по степени риска путь получить зловреда. Социальные сети и мессенджеры (WhatsApp, Viber, Skype и пр.) – это огромный массив разных данных, от фотографий до документов, но наиболее опасны для пользователя переходы на внешние ссылки. По внешней ссылке вас может ожидать не только картинка приятного содержания или блок новостей, но и инсталлятор зловреда. Поэтому любые переходы по внешним ссылкам лучше делать только тогда, когда вы на 100% уверены в безопасности этого. К примеру, если вас направляют для просмотра новости по ссылке, начинающейся с www.bbc.com, то тут нет никаких проблем, и доверять сайту можно. А вот если вместо этого вы видите www.bbci.com, то идти туда не стоит. Также – если вам предлагают ссылку на один сайт, а на деле выходит ссылка на другой. Это легко проверяется: наведите на ссылку мышкой и посмотрите (в зависимости от браузера, либо над самой ссылкой, либо в нижней части окна) реальный адрес, куда она ведет. Если он совпадает с тем, что нужно – нажимайте. Если нет – лучше не рисковать, так как перед вами обман, и по адресу, куда вас на самом деле перенаправят, может не быть ничего, кроме неприятностей.
3. Через закладки на сайтах. Время от времени злоумышленники получают контроль над теми или другими Интернет-ресурсами. Времена, когда они просто развлекались, «взломав» сайт и разместив на его главной странице картинку пошлого содержания, давно прошли – теперь полученный контроль используется с максимальной выгодой. К примеру, на новостной ресурс в части ссылок размещается вредоносный код, который начинает загрузку и исполнение вируса. Однако такой способ распространения вирусов достаточно дорогостоящ, ведь сайт еще надо взломать, а это – время (которое, как известно, деньги), поэтому используется нечасто.
Есть и другие, менее распространенные и более экзотичные методы атак вирусов-шифровальщиков, однако все они так или иначе завязаны на сетевой безопасности, о которой — чуть ниже.
Как обезопасить себя от криптовирусов
Полагаю, вы уже догадались, что первое и самое главное правило безопасности – внимательность.
1) Получая электронные письма, не запускайте вложение, пока не убедились, что это именно то, что должно быть – то есть у картинки имеется расширение картинки, а у документа – документа, а не исполняемого файла.
2) Получая электронные письма со ссылками на ресурсы в сети интернет, равно как переходя по ссылкам в социальной сети или мессенджере, вначале убедитесь, что ссылка ведет вас именно туда, куда нужно, а не является замаскированной ссылкой на левый ресурс. Переходите по ссылке только тогда, когда убедились, что она безопасна.
3) Не разрешайте устанавливаться на своем компьютере никаким программам, которые разные сайты хотят у вас установить (всякие даунлоадеры и акселераторы). Такие программы обычно «поставляют» вам целый букет компьютерных заболеваний, одним из которых вполне может оказаться и шифровальщик.
Однако надеяться только на свою внимательность довольно наивно, ведь ее уровень падает в течение дня в разы, и то, что вы легко заметили бы утром, можете совершенно легко пропустить днем. Поэтому программная защита необходима.
Но как же быть, если антивирусы не имеют той степени надежности, которая нужна для вашей безопасности?
Не все антивирусы одинаково бесполезны в борьбе с шифровальщиками =). Есть несколько, которые включают так называемую «сетевую защиту», одна из функций которой – отслеживать, что скачивает ваш компьютер из сети и определять, опасно это или нет. В случае малейших подозрений такой антивирус заблокирует исполнение файла и предупредит пользователя, что в его епархию пытается проникнуть зловред (или какая-то другая программа, по поведению похожая на зловред). Правда, эти «антивирусы» называются уже по-другому – экраны сетевой защиты (или сетевые экраны), то есть формально это уже не антивирус.
К сожалению, даже такие экраны не всегда обладают нужной степенью параноидальности, и могут пропустить хорошо замаскированное вредоносное приложение. Оно запустится и произведет свое черное дело.
Как быть, чтоб избежать потерь?
Есть два простых и очень надежных решения – резервное копирование и firewall, программа, функция которой не в отслеживании и отлове вирусов и подозрительных программ, а в контроле работы программного обеспечения системы. Одним из наиболее известных продуктов на рынке таких программ является Agnitum Outpost.
Установив такую программу, отключите режим самообучения. Программа начнет запрашивать разрешения на запуск установленных в системе приложений, на те или иные акции, которые приложения выполняют в системе (изменение памяти, прослушивание портов и т.п.). Тем приложениям, которым вы доверяете, вы можете разрешить активность на постоянной основе, отметив специальную галочку – при этом при повторном запуске firewall уже не будет спрашивать, что делать с тем приложением, которому вы уже доверяете. Суть использования этой программы очень проста: она реагирует на запуск любого приложения, которое исполняется в системе. И если firewall вдруг запросит у вас разрешение на исполнение программы, о которой вы ничего не знаете, которая имеет подозрительное название или требует странные действия (например, изменить содержимое жесткого диска) – смело запрещайте любую активность этой программы.
Это единственный на текущий момент, реально работающий способ эффективно обезопасить себя от вредоносного воздействия вирусов-шифровальщиков. Собственно, и не только их. Используя firewall, вы обезопасите себя от DDoS атак, попыток взлома вашей системы извне (прослушивание портов, атака через открытый порт и т.п.), использования троянцев или майнеров (о них будут отдельные статьи) и т.п.
Что делать, если ваши файлы зашифрованы
Это самый печальный вариант развития событий. Если вы не использовали firewall, не имеете резервных копий и достаточно вольно используете Интернет – он вполне возможен. Итак, вы обнаружили, что ваши файлы зашифрованы.
Первое. Нужно определить, каким именно вирусом зашифрованы ваши данные, и есть ли для него расшифровщик. Мировое сообщество программистов довольно плотно работает над методами «раскола» криптовирусов, и, как ни странно, для многих из них есть инструменты для расшифровки. Как узнать, поддается ли расшифровке ваш случай? Заходите на страничку сообщества по борьбе с программами-вымогателями и следуйте описанным там инструкциям. Вы очень быстро узнаете, чем зашифрованы ваши файлы и есть ли против этого лекарство.
Второе. Если ваш вирус поддается расшифровке, следуйте инструкциям на указанном выше сайте. В этом случае вам повезло.
Третье. Вирус не поддается расшифровке в настоящее время. Это обычное явление для новых модификаций зловредов, которые еще не «расколола» международная группа борцов с этим злом. У вас есть три опции. Первая и наименее правильная – это пробовать договориться со злоумышленником. Практика показывает, однако, что злоумышленнику плевать на ваши данные и, получив от вас деньги, он может навсегда исчезнуть с горизонта, не дав вам дешифратор (что вполне естественно, так как если дешифратор утечет от него в сеть, его барыши тут же закончатся). Вторая – ждать. Сохранить все ваши зашифрованные файлы где-то, и проверять время от времени, не появился ли расшифровщик.
Наконец, третья опция. Пробовать восстановить ваши данные из теневых копий и из удаленных файлов. Дело в том, что при зашифровке обычно исходный файл не переписывается, а создается новый; после окончания процедуры шифрования новый (зашифрованный) файл остается, а старый (исходный, незашифрованный) удаляется. При большой фрагментации данных и большом количестве папок шансы на извлечение с диска части удаленных исходных файлов довольно велики. Однако к этому процессу нужно подходить очень осторожно, поэтому делать такие операции самостоятельно мы не рекомендуем – обратитесь к профессионалам в области восстановления информации, это значительно увеличит шансы на восстановление хотя бы части утерянных данных.
Довольно часто встречаюсь с проблемами, когда пользователь решает, что может самостоятельно восстановить данные с помощью программ из интернета. Обычно это происходит тогда, когда был случайно отформатирован или удален раздел, установлена новая операционная система, и т.п.
Дисковое пространство делится на две области: недоступная пользователю в обычном режиме служебная область, которая содержит сервисную информацию диска (SMART, систему трансляции, оверлеи, адаптивные параметры, подстроечные таблицы и т.п. – все, что необходимо диску для нормальной работы), и пользовательская область, где лежат, соответственно, данные пользователя. В упрощенном виде пользовательская область на отформатированном диске состоит из области файловых таблиц, в которых имеются записи о файлах, лежащих на диске, и из области данных, где, собственно, эти файлы и лежат.
Самостоятельное восстановление данных чревато серьезными последствиями, связанными с перезаписью данных. Многие пользователи заблуждаются, полагая, что операционная система будет записывать их данные в «пустые» (неиспользованные до того момента) места диска. Это не так. Система использует диск весьма рационально, данные записываются по порядку от нулевого сектора (LBA 0) и до конца последовательно. Соответственно, если диск для системы пустой, то она начнет его использовать заново с наименьшего доступного адреса. Вроде бы, все хорошо – ведь если данные записывались последовательно, то при очистке диска и последующей записи данные должны лечь также последовательно, и, соответственно, должны быть рабочими. Но на деле все сложнее. При работе операционной системы происходит неизбежное удаление части файлов. Удаленный файл обычно не удаляется физически (если, конечно, не активирована технология TRIM), удаляется только соответствующая запись в файловых таблицах. Однако при следующем запросе на запись файла система просканирует файловую таблицу, найдет освободившееся место максимально близко к началу диска, и будет записывать новый файл именно туда; при этом будет сформирована новая запись в файловой таблице. А теперь представьте, что эта «дырка» в старых данных, которая была освобождена предыдущим удалением, для нового файла мала: он банально больше. Что сделает операционная система? Она разобьет файл на фрагменты, которые запишет в несколько таких дырок по порядку их наличия от младшего сектора к старшему. Соответственно будет записана и информация об этом файле в файловой таблице: фрагмент 1 лежит тут, фрагмент 2 лежит там. При обращении к файлу система соберет эти фрагменты по адресам, указанным в файловой таблице, и файл будет работать нормально. Это называется фрагментацией.
При форматировании раздела, соответственно, мы потеряем не только информацию о расположении файлов, но и об их фрагментации. К счастью, большинство файловых систем при форматировании не стирают файловые таблицы (так как они банально могут быть очень большими, занимать несколько гигабайт), а лишь меняют заголовок файловой таблицы, в котором указывается количество записей и адрес первой записи (на отформатированном диске, соответственно, количество записей близко к нулю, и адрес первой записи – также). Если мы начинаем использовать отформатированный диск, в область данных файлы начнут записываться с наименьшего доступного LBA, а в области файловых таблиц начнут формироваться новые записи.
Рассмотрим все это на простом примере.
Представим себе файловую систему, в которой имеется 4 файла, один из которых фрагментирован (разбит на 2 фрагмента). Соответственно, имеется 4 записи в файловых таблицах (одна из которых содержит информацию о фрагментированном файле), и 5 участков в области данных, соответствующих нашим четырем файлам.
Форматируем диск. Заголовок файловой системы обнуляется, файловые записи перестают учитываться; соответственно, вся область данных диска теперь помечена как пустая, пригодна для записи. Однако физически и записи в файловой таблице, и данные на диске все еще имеются и могут быть легко восстановлены.
Запускаем программу для восстановления данных. Программа просканирует поверхность, найдет «потерянные» записи и соберет по ним заново файловую систему в памяти компьютера. Теперь данные можно скопировать. Если копировать их на заведомо чистый носитель, то все данные, которые программе удалось найти, за исключением очень старых и многократно переписанных, будут работать; то есть все актуальные данные будут спасены.
Что произойдет, если мы начнем записывать восстановленные данные на тот же диск?
Программа даст системе команду на запись файла. Система просмотрит файловую таблицу, обнаружит, что в ней еще нет записей, и будет использовать наименьший доступный LBA для записи первого сектора файла. Соответственно, система создаст нулевую запись в файловой таблице для нового файла (и сотрет ту, что там была до этого).
Вслед за этим будет записываться второй файл (файл номер 1 для файловой системы). Естественно, создается новая запись в файловой таблице, и поскольку файл записывается для системы «в первый раз», то он ложится аккурат в следующий сектор после окончания первого файла. Но у нас в оригинальной файловой системе этот файл был разбит на два фрагмента – соответственно, программа объединит их в один файл, а система запишет. Пока вроде все нормально, оба записанных файла будут работать. Но вот на третьем файле уже начнутся проблемы. Ведь то место, куда мы записали (вполне успешно) фрагменты 1 и 2 второго файла, частично использовалось старой системой под хранение третьего файла.
При записи третьего файла (файл номер 2 для файловой системы) система также будет использовать первый свободный сектор после окончания последнего записанного (второго) файла. Однако данные о расположении этого файла не изменились, и она возьмет с диска именно тот кусок, где должны лежать данные файла номер 2: то есть кусок только что записанного файла номер 1. И положит его на новое место, переписав то, что там было до этого.
Также будет и с четвертым файлом: программа считает то, место, где лежал этот файл, и положит его туда, куда укажет операционная система – после окончания третьего файла.
Чем более фрагментированной была исходная файловая система, тем больше будут перемешиваться данные при их повторной записи на тот же диск, и тем хуже будет результат такого «восстановления».
Если вы не уверены в том, что не испортите свои данные при их восстановлении – лучше не рисковать. Мы всегда готовы помочь, даже в самых сложных и, казалось бы, безнадежных случаях. Но, увы, восстановить полностью перезаписанные данные не сможем даже мы.
На рынке устройств для хранения данных жесткие диски для ноутбука стандартного типоразмера (толщиной до 9.5 мм) емкостью 2 ТБ на текущий момент производят лишь два производителя. Наиболее продаваемые диски сейчас – Seagate Mobile HDD; они бывают не только 2 ТБ, выпускаются и модели емкостью 1 и 1.5 ТБ. Эти диски имеют уменьшенную толщину (7 мм), в диск такой толщины помещается до двух пластин и 4 головок соответственно. Внутреннее название дисков этого типа, данное компанией Seagate, Rosewood. И многие считают, что это один из самых неудачных дисков от Seagate. Но так ли это?
Особенности этих дисков:
1) черепичная запись (SMR); это следующая после параллельной и перпендикулярной технология записи, когда сектора укладываются один за другим с некоторым перекрыванием по принципу черепицы; эта технология по сравнению с перпендикулярной записью позволяет увеличить плотность записи на 25%;
2) Записывающая часть головки чтения-записи физически больше читающей части; это сделано для того, чтобы обеспечить функционирование SMR-записи;
3) наличие у диска медиа-кэша; технология кэширования данных, используемых более часто (например, записей MFT) в служебной зоне накопителя; служебная зона накопителя имеет более низкую плотность записи, чем пользовательская, и в силу этого теоретически должна быть более надежной;
4) сильно ограниченный функционал сервисной части микропрограммы; из микропрограммы удалены те функции, которые могут «деструктивно» сказаться на целостности данных;
5) цифровая подпись служебной информации; работать будет только тот диск, служебная зона которого аутентична и идентифицирована как служебная зона именно этого диска;
6) Пониженное энергопотребление, реализованное значительным уменьшением количества электронных компонентов и относительно низкой скоростью вращения шпинделя;
7) для обеспечения компактности конструкция выполнена таким образом, что крышка диска не надевается сверху, как у остальных дисков форм-фактора 2.5 дюйма, а вкладывается в корпус сверху.
Что это все означает?
1) Плотность записи дисков этого семейства на настоящий момент – наивысшая из всех имеющихся в продаже дисков форм-фактора 2.5 дюйма.
2) Скорость работы этих дисков выше, чем у дисков предыдущего («перпендикулярного») поколения, за счет использования медиа кэша.
3) В силу конструкции диска любые физические воздействия на него, даже минимальные, могут привести к отказу работы механической части (заклинивание дисков или головок).
4) Эксплуатация этих дисков требует учета перечисленных выше особенностей и следствий из них.
Эти диски очень часто попадают на операционный стол специалиста по восстановлению данных, однако проблема кроется, как обычно, не в низком качестве самого устройства, а в том, как его эксплуатируют пользователи. Кроме того, на рынке мобильных жестких дисков емкостью 2 ТБ эти диски – неоспоримый лидер, и, соответственно, статистически вероятность их выхода из строя выше. Ошибки пользователей, которые приводят к проблемам с этими дисками: удары, падения, неправильное отключение из системы, сильные вибрации, плохое питание и т.п. – то есть тот же набор проблем, которые приводят к неисправностям подавляющего большинства жестких дисков по всему миру. Поэтому во избежание поломок нужно просто строго следовать правилам их эксплуатации.
Конечно, если вы не уверены, что сможете эксплуатировать диски Rosewood с соблюдением всего, что я порекомендую вам ниже, лучше выбрать другой диск. Но, к сожалению, в настоящий момент альтернатив этим дискам нет; к тому же, все внешние диски Seagate на текущий момент оснащаются именно этими дисками. Поэтому, я думаю, лучше следовать правилам и не потерять ни диск, ни данные, чем пытаться найти несуществующую альтернативу.
Итак, простые правила, которые гарантируют вашему диску Rosewood долгую жизнь:
1) Никаких физических перегрузок диск этого типа не должен испытывать ни во время работы, ни в выключенном состоянии. Удары, усилия на изгиб, давление на крышку и т.п. для этих дисков очень опасны. Собственно, то же правило применимо и к другим жестким дискам, но Rosewood особенно чувствительны.
2) Если жесткий диск установлен внутри ноутбука, крышку этого ноутбука нельзя резко закрывать. Если захлопнуть крышку, жесткий диск получает сильный удар продольного направления, что равносильно прямому удару по крышке, со всеми вытекающими последовательностями. Это же правило применимо и к другим жестким дискам.
3) Выключение диска должно производиться только в штатном режиме, аварийное отключение может быть чревато или физическими проблемами (заклинивание головок), или программными (порчей данных в медиа кэше). Поэтому не ленитесь и отключайте ноутбук через кнопку пуск, а внешний диск – через безопасное извлечение устройства. Собственно, то же правило применимо и к другим жестким дискам.
4) Диски Rosewood более требовательны к питанию, чем другие жесткие диски для ноутбуков. Новое поколение технологий энергосбережения привело к тому, что диск может начать работать даже при «просевшем» питании, однако просевшее питание часто дает сбои, при которых головки могут не успеть аварийно запарковаться и останутся на поверхности, так как диск работал на нижнем пределе питания. Поэтому следите за тем, чтобы мобильный диск Seagate включался в исправный, а не разбитый, разъем USB, а также следите за тем, какое питание получает ваш ноутбук.
Ну а если с вашим диском что-то произошло, то обращайтесь: мы можем вам помочь.
RAID – технология старая, проверенная временем и надежная. RAID – аббревиатура, означающая Rebundant Array of Independent Drives (Избыточный массив независимых дисков). Что это значит? Если объяснять просто, то это такое устройство, которое объединяет в один диск несколько дисков, и объединяет по-разному. Но результат всегда одинаковый: для пользователя это будет единый накопитель, на который он может скопировать свои файлы.
Хорошо, спросите вы, а зачем тогда нужен этот самый RAID, если можно с таким же успехом просто подключить жесткий диск? Естественно, раз он был придуман, то не просто так. Какие задачи решает дисковый массив?
Дисковый массив из 8 дисков Western Digital Red емкостью 3 ТБ каждый. RAIR-0, общая емкость массива 24 ТБ
Основные функции дисковых массивов
Первая – это повышение производительности. Организация нескольких дисков в единое устройство хранения информации позволяет записывать данные пользователя одновременно на все диски массива порциями, тем самым увеличивая (в теории) скорость работы дисковой подсистемы кратно количеству дисков в ней. На практике, конечно, прирост производительности не кратен числу дисков, но все равно, он весьма высок и превышает обычные для стандартных жестких дисков скорости как минимум на 50%.
Вторая – это повышение емкости. Несколько дисков, объединенных в массив, будут иметь или суммарную емкость всех дисков массива, или немногим менее (обычно суммарная емкость всех дисков минус емкость одного или двух дисков).
Третья – это повышение надежности. Неспроста в расшифровке аббревиатуры RAID присутствует слово «избыточность» — большинство типов дисковых массивов реализуют те или иные механизмы защиты данных от потерь. Единственный тип RAID, в котором не реализована избыточность – это RAID-0, или, как его еще называют, «страйп». Этот тип массива использует все диски для хранения пользовательских данных, он самый быстрый из всех типов дисковых массивов и позволяет получить самую большую конечную емкость устройства, но при этом он абсолютно не защищен от сбоев, и в случае любой неисправности любого члена массива RAID-0 данные на нем теряются.
Как это работает? В целом просто, как и все гениальное.
Диски разделяются на блоки, а блоки чередуются в определенном порядке. Когда нужно записать информацию, контроллер распределяет ее по свободным блокам. Вот и все. Казалось бы, что может быть надежнее?
Типы дисковых массивов
Сохранение общего принципа «блочная запись данных в определенном порядке» порождает массу его разновидностей. Можно записывать данные блоками с чередованием на каждом диске, через диск, через несколько дисков; можно записывать информацию блоками разной величины; можно разделить блоки на блоки с данными и блоки с информацией для восстановления (избыточность), и также чередовать их по-разному. В общем, вариантов масса. Это и порождает основные проблемы восстановления данных с дисковых массивов.
Всем известно, что RAID-массивы бывают разными: RAID-0 (страйп), RAID-1 (зеркало), RAID-3, RAID-4 (массивы с контролем четности, вынесенным на отдельный диск), RAID-5, RAID-6 (массивы с контролем четности блочного типа). Мы не будем описывать эти типы дисковых массивов – в интернете об этом информации более чем достаточно; на рисунках ниже изображено, как они работают.
Блок-схема дискового массива типа RAID-0
Блок-схема дискового массива типа RAID-1
Блок-схема дискового массива типа RAID-5, с объяснением типов массивов RAID-3 и RAID-4
Блок-схема дискового массива типа RAID-6
Реализация избыточности: XOR и коды Рида-Соломона
Намного интереснее то, как реализуется избыточность. Для этого используется два логических механизма: XOR (RAID-3, RAID-4, RAID-5) и XOR + код Рида-Соломона (RAID-6).
Что такое XOR? Это логический оператор, который принято обозначать как «исключающее или». Работает он просто и начинает иметь смысл при трех участниках оператора: первом слагаемом, втором слагаемом и результате. Смысл оператора заключается в том, что зная два из трех его участников мы всегда можем точно назвать третий. Конечно, XOR можно организовать и для четырех, и для пяти, и для большего количества участников – просто сами операции восстановления недостающего члена ряда будут сложнее. Как это работает? Давайте рассмотрим на примере ряда из трех членов (пусть для простоты это будет три диска с однобитовым размером блока, чтобы нам было проще представить механизм):
XOR-матрица для трех участников по одному биту каждый
Схема восстановления утерянного участника при помощи XOR-матрицы
Мы видим, что при утере любого из дисков содержимое утерянного байта в каждом блоке утерянного диска может быть восстановлено из двух других с использованием операции «исключающее или». Очевидно, что при потере одного диска, основанного на этом принципе восстановления (избыточности), массив продолжит работать нормально, хотя и медленнее обычного, так как много времени будет тратиться контроллером массива на расчет недостающих битов информации. По этой причине дисковые массивы с избыточностью обычно делаются с небольшим размером блока (до 256 секторов), так как пересчет больших блоков слишком сильно нагружает контроллер и общая производительность массива при больших блоках падает просто катастрофически; кроме того, активное использование контроллера в режиме постоянного пересчета данных неизбежно приведет к его повышенному износу и по этой причине – преждевременному выходу из строя.
Более высокий уровень надежности дискового массива можно обеспечить, только реализовав дополнительный механизм восстановления утерянных данных. Такой механизм был реализован в массивах RAID-6, он позволяет массиву пережить потерю сразу двух дисков, и минимальное количество членов массива, соответственно, будет четыре. Основан этот механизм на использовании двух независимых систем пересчета данных: XOR (о нем мы сказали выше) и коды Рида-Соломона. В массивах типа RAID-6 чередуются блоки данных, блоки XOR и блоки кодов Рида-Соломона так, что при выходе из строя одного или даже двух дисков содержимое этих дисков может быть пересчитано контроллером, и массив продолжит работать (данные будут доступны). Что же такое коды Рида-Соломона?
Если говорить максимально просто, то код Рида-Соломона – это битовая матрица, позволяющая при утере одного или двух ее участников рассчитать их содержимое по остальным. Казалось бы, чем отличается код Рида-Соломона от XOR? Отличие в том, что коды Рида-Соломона позволяют восстановить битовое значение при отсутствии не одного, а двух компонентов. Для этого используются более сложные алгоритмы: поля Галуа, синдром ошибки и прямое преобразование Фурье. Если при использовании XOR восстановление возможно только при сохранении цикличности расположения битов информации, то при использовании кодов Рида-Соломона сохранение цикличности уже не требуется, так как математика контроллера сама способна рассчитать положение ошибок и скорректировать их.
Естественно, использование такого сложного алгоритма восстановления данных приведет, в случае утери одного или двух дисков из массива RAID-6, к сильному износу контроллера и, как следствие, к его преждевременному выходу из строя.
Состояние массива с избыточностью: нормальное, деградировавшее, неисправное
Любой дисковый массив, имеющий избыточность, по своему состоянию разделяется на нормально работающий (все диски массива исправны и массив функционирует нормально, данные защищены), деградировавший (degraded) (один или два (в зависимости от типа RAID) диска массива неисправны, массив функционирует с пересчетом отсутствующих дисков, данные не защищены) и неисправный (вышло из строя больше дисков, чем поддерживает избыточность, контроллер не имеет возможности рассчитать данные на вышедших из строя дисках, массив перестал существовать как устройство хранения информации).
Нормально работающий массив – его естественное состояние. Для того, чтобы не потерять массив в случае выхода из строя одного из его членов, было внедрено понятие «горячая замена» (hot spare) – пустой диск, единственная функция которого – принять на себя пересчитанные контроллером данные вышедшего из строя накопителя. Такой диск после переноса на него рассчитанных данных включается в массив, а вышедший из строя диск из него исключается. Эта процедура называется «перестроить массив» (RAID rebuild). Как правило, во время перестройки (ребилда) массив работает значительно медленнее, чем в нормальном состоянии. По этой причине в случае ребилда деградировавшего массива пользователь может его перезагрузить («что-то зависает, надо перезапустить»). Результатом такой перезагрузки может стать переход массива из состояния «деградировавший» в состояние «неисправный». Во избежание подобных последствий, при наличии настроенного диска горячей замены, в случае значительной потери производительности массива зайдите в утилиту его настройки и мониторинга и посмотрите, чем именно сейчас занят массив. Если он покажет вам процесс rebuild – не трогайте массив до его окончания.
Состояние массива без избыточности: исправен и неисправен
Для массивов без избыточности (RAID-0 и RAID-1) возможно только два состояния: массив исправен (все диски массива работают и данные доступны) и массив неисправен (один или несколько дисков массива вышли из строя, данные недоступны).
Если с массивами RAID-0 выход одного или нескольких участников массива из строя приводит к образованию «дыр» в данных (те места, где должны быть блоки данных из вышедших из строя носителей), то с массивами RAID-1 (зеркало) все намного интереснее. По простой логике зеркало, или массив с полным дублированием диска, не должно приводить к потере данных в случае выхода из строя одного из участников. На практике это так далеко не всегда. Довольно часто (особенно в случае использования в массиве дисков одного производителя и одной модели) один диск «клонирует» не только данные со второго, но и его ошибки, что может привести к одновременному выходу из строя обоих дисков с идентичными симптомами. В настоящее время зеркалирование – уже отмирающая технология, предпочтение отдается блочным массивам с избыточностью как более надежным.
Составные массивы. Кластеры. Локусы. Современные системы хранения данных
Конечно же, свет вовсе не сошелся клином на тех типах RAID, которые мы перечислили выше; производители всевозможных устройств с удовольствием применяют различные алгоритмы, комбинации и решения для реализации наиболее (по их мнению) быстрых и надежным типов массивов. Один из методов «улучшения» RAID – применение технологий составных массивов.
В самом простом случае составной дисковый массив – это два или больше массива, объединенных в один. Например, два RAID-5, которые объединены в зеркало (RAID-1). Или два страйпа (RAID-0), объединенных в зеркало. И т.п. По типу объединения такие массивы обычно имеют двойную цифровую кодировку (RAID50 или RAID5+0, RAID10 или RAID1+0, и т.д.). Составление массива из нескольких добавляет массиву надежности.
Более сложные структуры создаются уже для промышленных систем хранения данных, они призваны обеспечить большие емкости при высоком уровне отказоустойчивости. Как правило, это составные массивы иерархического типа, реализованные по принципу матрешки: более мелкие массивы помещаются в более крупные, и так до тех пор, пока на верхушке не остается один, наиболее крупный, RAID. Например, такая структура:
Десять массивов RAID-5, объединены попарно в массивы RAID-0 (таких массивов получается пять), эти массивы RAID-0 объединены в RAID-6; четыре таких массива RAID-6 объединены в RAID-0. Как разграничить такую схему?
Для этого придумана специальная терминология.
Промышленное устройство хранения информации (или просто дисковый массив) – это окончательный продукт взаимодействия всех дисков в системе, то свободное место, которое он предоставляет для использования.
Кластер – первичная ячейка хранения данных, объединение нескольких массивов первого или второго уровня (в нашем примере кластером является попарное объединение массивов RAID-5 в массив RAID-0).
Локус – объединение кластеров.
Таким образом, простым определением промышленного устройства хранения информации будет: промышленное устройство хранения информации – это иерархическое объединение в единое дисковое поле локусов кластеризованных дисковых субъединиц.
Физическая реализация дисковых массивов
Как дисковые массивы реализуются на практике? Возможно два метода: программный и аппаратный.
Массив на программном уровне может быть создан даже на базе одного диска (в RAID программно собираются участки его поверхности). Обычно программный массив собирается в Linux, реже – Mac или Windows. Инструменты создания программных массивов в Linux/Unix системах намного мощнее, удобнее и гибче, чем в Windows, поэтому в подавляющем большинстве NAS (Network Attached Storage) для сборки массива используется Linux. Соответственно, собирая программный массив блочного типа с избыточностью, нужно быть готовым к тому, что он будет «отъедать» часть ресурсов процессора и оперативной памяти для обсчета избыточности.
Массив на аппаратном уровне собирается с использованием специализированного RAID-контроллера – это или внешняя карта расширения, устанавливаемая в PCI или PCI-E слот, или интегрированный в материнскую плату микрочип. В любом случае, всю математику, а также хранение настроек, логов ошибок и т.п., берет на себя уже не программная часть, реализванная в операционной системе, и не ресурсы компьютера, а аппаратная часть контроллера.
В большинстве случаев для организации дискового массива требуются диски одинакового объема. Однако некоторые контроллеры позволяют реализовывать блочные дисковые массивы с избыточностью и на дисках разного объема: DROBO, Synology и т.п. Такие массивы строятся на принципе разделения общего дискового пространства на зоны, из которых собирается конечный массив. Эти массивы имеют свои собственные маркетинговые названия (например, Beyond RAID у DROBO, Hybrid RAID у Synology, и т.п.), однако суть всегда остается одинаковой: это, во-первых, блочный массив, а во-вторых, у него имеется реализованная циклическим способом избыточность.
На каких дисках строятся дисковые массивы
В принципе для построения массива нет ограничений по используемым носителям. Это могут быть и традиционные жесткие диски с любым интерфейсом (SCSI, SAS, SATA, PATA), и твердотельные диски с любым интерфейсом (SATA, NVMe, M.2 и т.п.), и карты памяти (в китае даже выпускаются особые платы расширения, позволяющие сделать из нескольких карт SD один твердотельный накопитель – при этом карты памяти работают как RAID-0).
Массивы на SSD собираются в дата-центрах, для которых приоритетным является не объем хранилища, а его производительность – например, там, где требуется обрабатывать медиа-контент (видео в разрешении 4К и 8К, фотографии, снятые камерами с разрешением больше 32 мегапикселей, и т.п.). Это киностудии, медиахранилища (например, облако iCloud) и т.п.
На жестких дисках собираются массивы тогда, когда объем важнее производительности – и, естественно, когда построить массив на SSD не позволяет бюджет (твердотельные диски намного дороже жестких). Массивы на SATA или PATA-дисках (последние уже почти не встречаются) собираются в бюджетном сегменте, они дешевле всех других и позволяют строить хранилища довольно внушительного объема.
SCSI или SAS диски используются в бизнес- или enterprise-решениях, их отличает более высокая степень надежности, чем SATA/PATA диски. Кроме того, обычно SCSI/SAS диски разрабатываются именно для использования в серверах, поэтому их отличает (обычно) более высокая скорость вращения шпинделя, уменьшенное время поиска информации, высокие скорости передачи данных.
Массивы на картах памяти строят в подавляющем большинстве случаев обычные пользователи, хотя такие массивы могут быть реализованы в некоторых профессиональных камерах для повышения безопасности данных (две карты памяти, которые работают в режиме RAID-1). Массив на картах памяти наименее надежен, так как качество карт памяти значительно уступает качеству жестких или твердотельных дисков, карты памяти имеют гораздо больше шансов на выход из строя и, наконец, они просто значительно медленнее дисковых накопителей.
Восстановление дисковых массивов в компании IT-Doctor
Наш опыт в области восстановления данных составляет более 25 лет, и немалую часть этого времени мы посвятили дисковым массивам. Основная часть наших клиентов обращалась с устройствами NAS и с внешними USB-дисками, оборудованными внутри 2 – 4 накопителями. Как правило, в таких устройствах реализуется либо массив RAID-0, либо RAID-5. Подобного рода массивы восстанавливаются обычно очень быстро, так как нами накоплена большая база стандартных конфигураций дисковых массивов для такого рода устройств. В 90% случаев при исправных дисках при обращении к нам с устройством NAS или внешним диском, построенным по архитектуре RAID, мы восстановим данные в тот же или на следующий день.
В более сложных случаях, когда применяется нетривиальная конфигурация массива, или когда один или несколько дисков в массиве вышли из строя в разное время, и требуется определить, какой из них несет актуальные данные, а какой следует игнорировать, процесс восстановления данных может занять 2 – 3 дня. С чем это связано?
Прежде всего, мы обязательно сделаем посекторную копию каждого диска массива. Это делается даже в том случае, если все диски в массиве исправны. Работа с копией полностью исключает фатальные для данных ошибки, а ведь один из наших основных принципов – работать безопасно.
Затем мы исследуем диски вручную и определим, какие из участников массива в настоящий момент исправны, какие – неисправны, и какие из неисправных дисков следует восстанавливать (определяется актуальность данных). Только после этого неисправный диск будет приводиться в пригодное для копирования данных состояние и будет создаваться его посекторная копия.
После всех приготовлений диски анализируются специализированным ПО (в том числе, если требуется, и нашей собственной разработки), определяется конфигурация массива (порядок дисков, размер блока, тип цикла и распределение блоков, смещения (если они есть) и т.п.). Сборка массива осуществлятся в шестнадцатеричном редакторе; после сборки возможно две опции доставки данных – создание полноценного клона массива на другой (исправный) массив (например, на другой NAS) или пофайловое копирование информации на носители заказчика (на другой NAS, на другие диски, и т.п.).
Статистика по обращениям к нам с дисковыми массивами для восстановления данных приводится в этой статье. Как видите, мы восстановили немало массивов, имеем в этом плане огромный опыт и все необходимое для таких работ оборудование: SCSI и SAS-контроллеры, внешние USB-раки для монтажа многодисковых массивов (до 8 SAS-дисков в стойке), специализированное ПО для анализа и сборки массивов. Мы привыкли работать быстро и качественно и всегда готовы оказать вам помощь с воссстановлением данных из RAID, если он вдруг перестал работать.
Не далее как вчера столкнулся с восстановлением данных с жесткого диска, когда заказчику нужно было найти определенные данные в текстовом формате. Заказчик установил на диск новую операционную систему, при этом удалив предыдущие разделы. Старую файловую систему восстановить не удалось – она оказалась полностью переписанной. В этом случае помочь может только RAW-восстановление: диск сканируется специальными программами, которые анализируют его сектор за сектором, производят поиск заголовков нужных вам типов файлов, определяют их размер, и затем – выводят результат такого сканирования в виде дерева файлов. Результат может быть сохранен в виде файлов, которые затем необходимо отсортировать вручную, так как оригинальные названия файлов не сохраняются.
Папка с файлами фотографий после отработки восстановления по типу “RAW”
Если с фотографиями и видео все можно решить относительно быстро – отсортировать фотографии по размеру, удалить слишком маленькие файлы, а затем рассортировать фотографии по превьюшкам, то с текстовыми документами этот метод не сработает, так как даже на превьюшках вы не увидите того, что написано в документе. Многие идут самым простым путем: открывают документы один за другим, просматривают содержимое и переименовывают файл в соответствии с ним. Это можно относительно легко сделать для нескольких сотен документов, но как быть, если их несколько десятков или даже сотен тысяч, и ищете вы конкретную информацию?
В этом случае вам на помощь придет автоматизация поиска.
Не секрет, что некоторые функции Windows позволяют находить документы по их содержимому. Однако у поиска операционной системы есть два серьезных недостатка: он хорошо работает только на проиндексированных папках и он обрабатывает не все типы документов. Соответственно, гарантий того, что нужная вам информация найдется поиском, нет. Для того, чтобы найти информацию гарантированно, нужно использовать специализированные функции файловых менеджеров. Они дают очень хорошие результаты, позволяют найти все файлы, в которых имеются интересующие вас слова, удобны для работы.
Как это делается?
Все просто. Для начала скачайте один из файловых менеджеров. Я рекомендую Total Commander по двум причинам: он условно-бесплатный, то есть работает без регистрации, и у него дружественный и интуитивно понятный интерфейс. Cкачать последнюю версию Total Commander можно по ссылке
Допустим, мы ищем документ, в котором содержится номер телефона интересующего нас человека. Он записан в текстовом файле, расположенном в папке «Мои документы», нам известно имя контакта, и больше никаких сведений о нем у нас нет. Чтож, мы можем долго искать его, открывая один файл за другим, или воспользоваться расширенными опциями поиска файлов в программе Total Commander. Давайте пройдем по всему процессу поиска от начала до конца.
1. Открываем Total Commander. Интерфейс представляет собой окно, разделенное на две части, в которых можно открыть два разных источника (из одного в другой можно копировать и переносить данные, и т.п.). Нам все равно, в какой части окна работать; я обычно выбираю правую панель – я правша =). Выбираем нужным нам источник (мы работаем с папкой «Мои документы», поэтому я выбираю его).
Рабочая панель программы “Total Commander”, выбираем нужную нам папку
2. Комбинацией клавиш «CTRL + A» (нажимаем одновременно, или CTRL моментом раньше, чем А) мы выбираем все содержимое папки. Если мы наведем и установим курсор на одной папке, то поиск будет работать только в ней.
Рабочая панель программы “Total Commander”, выбраны все папки и файлы нажатием комбинации клавиш «CTRL + A»
3. Открываем инструмент поиска. Находится он в меню «Инструменты» -> «Поиск файлов».
Открываем инструмент поиска программы Total Commander
4. Теперь нам важно указать, что именно мы ищем. В поле «Искать файлы» можно указать типы файлов, которые следует просмотреть (например: *.txt, *.doc – программа будет производить поиск только этих файлов, и будет пропускать остальные). Если вы не уверены, в каком именно типе файла сохранили свои данные, оставьте это поле пустым – тогда программа будет анализировать все файлы. Самое важное для нас поле – «С текстом». Ставим на нем галочку и указываем текст, который мы ищем. В нашем примере с контактом – это имя контакта (я указал «Иван»). Далее можно настроить опции текстового поиска: ищем мы слово целиком, или это фрагмент какого-то составного слова (например, если мы уверены, что Иван был написано отдельно, то можно выставить опцию «Только слово целиком», если же мы не уверены в этом, и было что-то типа «Иван_Петров» или «ИванИванов», то лучше этот чекбокс не трогать); соблюдать ли регистр (если эта галочка не установлена, то программа будет искать слово во всех регистрах); тип кодировки. Тип кодировки важен, так как символы в разных кодировках пишутся в файл по-разному. В Windows по умолчанию это своя кодировка ANSI, и кодировка выбирается Total Commander по умолчанию – этот чекбокс можно не трогать.
Настраиваем поиск в программе “Total Commander”: ищем слово «Иван» во всех файлах папки «Мои документы»
5. После того, как вы настроили все опции поиска, нажмите кнопку «Начать поиск». Процесс может занять довольно продолжительное время, если у вас много файлов. Дождитесь его завершения (в нижней части окна поиска появится надпись «Найдено файлов – ХХХ, каталогов – ХХХ, а программа издаст звуковой сигнал события Windows). В процессе поиска в окне внизу будут появляться его результаты.
Поиск файлов в программе Total Commander в работе
Поиск файлов в программе Total Commander завершен
6. В окне поиска можно перейти к интересующему вас файлу (кнопка «Перейти к файлу»), если вы уверены, что это именно то, что вам нужно. Если же такой уверенности нет, то можно вывести все файлы на панель для удобства работы, и просматривать их по одному (кнопка «Файлы на панель»).
Результаты поиска программой Total Commander выведены на панель
7. В нашем примере нашлось довольно много файлов, содержащих текстовое поле «Иван» — даже среди картинок. Записывать информацию контакта в изображение мы вряд ли могли, поэтому картинки можно сразу пропустить. Для удобства дальнейшего поиска лучше всего рассортировать файлы по типу (просто нажав на кнопке «Тип» в панели с файлами).
Результаты поиска программой Total Commander отсортированы по типу, интересующий нас файл выделен
8. Очевидно, что в первую очередь проверять следует текстовые файлы. Такой файл нашелся только один (их может быть и больше). Установим на него курсор и нажмем функциональную клавишу F3 (просмотр файла) – и мы увидим его содержимое. Поздравляю! Вместо нудного поиска файла по всему каталогу «Мои документы» вручную, которые может занять продолжительное время, мы нашли нужный нам файл за пару минут.
Файл, найденный программой Total Commander, открыт для просмотра
Как видим, процедура поиска может быть сильно облегчена, нужная нам информация может быть найдена быстро, а представляемый программой результат поиска удобен и понятен.
Не теряйте своих данных, а если потеряли – IT-Doctor всегда готов помочь ее восстановить.
