Телефон заблокирован: FRP. Что это такое и как с этим бороться.

Введение

До июня 2014 года украсть телефон на базе ОС Android было гораздо проще, чем сейчас. Хотя и сейчас украсть Android-телефон намного проще, чем iPhone или iPad, но все же… Просто до 2014 года в этой системе не было жесткой и хорошо продуманной системы защиты от несанкционированного использования чужого устройства. Будучи единожды проданным, по сути оно не было привязано к единственному владельцу, как это с самого начала было сделано в iOS. Действительно, политика смены владельца устройства Apple крайне проста: это возможно только в том случае, если владелец устройства сам передаст его вам, при этом удалив на своем устройстве все данные и отвязав его от своего Apple ID. Для Android все было намного проще: завладев аппаратом, можно сделать его сброс на заводские настройки (factory reset), после чего настроить под себя и начать использовать.

Оболочка EMUI, Android 8, аппарат Huawei Honor 7C

Шоколадно, не так ли?

Но в июне 2014 года народу была представлена новая операционка от Android под кодовым названием Lollipop, в которой оказалась реализована система защиты FRP: factory reset protection (защита от сброса до заводских настроек). В чем ее основная суть?

При первоначальной настройке телефона вы привязываете его к какому-либо аккаунту электронной почты – примерно также, как у Apple ID. По умолчанию (и это понятно, ведь андроид – продукт Google) используется почтовый сервис gmail корпорации Google. Если у вас нет аккаунта Google, при первом старте Android-устройства вам будет предложено его создать.

После того, как вы полностью проинициализировали свой телефон, он привязывается к настроенному аккаунту, что называется, намертво. Аккаунт можно изменить, привязав телефон к другому – но это делает настолько мало народа, что этим можно пренебречь.

Итак, вы настроили аккаунт и стали пользоваться аппаратом. И тут – о горе – телефон был утерян или его украли. Как правило, большинство пользователей блокируют экран или пин-кодом, или графическим ключом, или отпечатком пальца. Такую защиту почти невозможно обойти или взломать; нашедшему телефон или злоумышленнику не остается ничего другого, как выполнить factory reset. Что он и делает. И вот тут его поджидает FRP…

После выполнения сброса от пользователя потребуют повторить вход в связанный с телефоном аккаунт Google. Создать новый аккаунт будет невозможно: только вход в уже имеющийся, привязанный к устройству. Если вход выполняется с ошибками или не выполняется, телефон блокируется. В зависимости от производителя, блокировка может иметь разный вид: начиная от невозможности нормального старта аппарата (выход только на консоль восстановления) и заканчивая стартом аппарата, но блокировкой функционирования всех приложений (обычно при попытке тапнуть по приложению, выдается сообщение «Приложение не установлено»). Пользоваться таким устройством невозможно, новые попытки сброса заблокированы. Что-то сделать с телефоном можно лишь в том случае, если удастся отключить или обойти FRP.

Как бороться с FRP

Блокировка FRP. Аппарат Huawei P20 Pro

Итак, телефон заблокирован. Это, кстати, может не обязательно быть следствием злого умысла – скажем, при обновлении Android 8 до Android 9 (оболочка EMUI) вас также вполне могут попросить ввести установочные данные вашего Google-аккаунта. И если вы сделаете это неверно три раза – произойдет блокировка устройства. Поэтому крайне важно точно помнить данные своего аккаунта – при корректном их вводе проблем не возникнет.

Однако если все-таки вы стали «жертвой» FRP (повторюсь – это возможно даже по невнимательности), то методы обхода блокировки существуют, хотя почти все они связаны с новым (последующим) сбросом устройства. Ну а после сброса вам предстоит все-таки ввести корректные данные привязанного аккаунта, иначе все это зря. Либо сброс происходит с предварительной подготовкой – в систему добавляется новый пользователь, установочные данные которого известны, а права достаточны для того, чтобы устройство использовать.

Наиболее распространенный метод обхода блокировки FRP — переход в настройки устройства через Google Maps. Суть методики заключается в том, чтобы методами разрешенных переходов (ведь блокируется не весь телефон, а приложения) попасть в меню настроек аппарата, где либо попытаться ввести установочные данные связанного аккаунта, либо создать новый и привязать устройство к нему. Вариант с новым сбросом устройства в надежде на то, что после него он не попросит ввести данные аккаунта, можете даже не рассматривать: попросит. Часто пользователь просто создает гостевой аккаунт и пользуется устройством с него: мастер-аккаунт при этом остается замороженным, но если пользователю повезло и он смог создать «гостя» с высоким уровнем привилегий, он сможет устанавливать и удалять приложения, совершать звонки, фотографировать и т.п. – то есть делать все то, что может делать и «хозяин». Однако данные хозяина будут недоступны.

Еще один обход блокировки – зайти с компьютера в связанный аккаунт и стереть устройство с отвязкой аккаунта. После этого устройство можно будет сбросить без проблем и привязать на новый аккаунт.

Как видите, в любом случае – потеря данных. И это крайне неприятно.

Восстановление данных с устройств, заблокированных FRP

Даже с заблокированного FRP устройства восстановление данных возможно. Однако не следует путать восстановление данных и возвращение аппарата к жизни: специалист по восстановлению информации не преследует цели отремонтировать или разблокировать ваш телефон, его задача – извлечь с него данные.

Начнем с главного. Восстановить данные с FRP-блокированного телефона можно не со всех моделей. Важным критерием оценки восстановления информации с такого аппарата является наличие root-прошивки: если она есть, то восстановление возможно. Если же нет – то нужно ждать лучших времен, когда она появится. Выше я говорил, что аппарат не даст возможности совершить повторный сброс до заводских настроек, либо (если даст), то при запуске все равно попросит ввести установочные данные первоначального связанного аккаунта. Так как же заставить его принять root-прошивку?

Методики существуют. Самая простая – выход в настройки аппарата и создание нового пользователя, из под которого уже и рутится телефон. Сразу скажу: срабатывает не со всеми аппаратами, однако примерно половину заблокированных FRP устройств можно таким образом разблокировать. Другая половина разблокируется через «жесткий» root – то есть прошивка льется в плату телефона через JTAG или другие (предусмотренные производителем) протокола обмена данными. При этом крайне важно понимать, что как таковой разблокировки устройства не происходит – фактически мы всего лишь получаем доступ к внутренним накопителям телефона, которые можем скопировать к себе на жесткий диск, проанализировать и попытаться вытащить из них данные.

Почему попытаться? Довольно много моделей телефонов, которые продаются в настоящее время, зашифрованы. Это вовсе не обязательно, но встречается часто. Таким образом, даже получив образ аппарата, можно ничего не восстановить, так как данные зашифрованы. Однако и шифрование – еще не приговор. Для некоторых типов шифрования Android уже давно существуют программы – генераторы ключа, если известен пароль (пин-код).

По моему опыту можно сказать, что в случае блокировки FRP успешно восстанавливаются данные примерно с 75% телефонов; не поддаются восстановлению данные только с тех аппаратов, где хозяин не помнит никаких паролей, пин-кодов и прочих сведений, необходимых для расшифровки. Старайтесь не забывать пароли и установочные параметры связанных аккаунтов, и вам, скорее всего, никогда не придется восстанавливать данные с устройства, заблокированного FRP.

Станислав К. Корб ©2019

Western Digital разрабатывает жесткие диски с двойным актуатором

В прошлом году корпорация Seagate анонсировала революционную технологию: внутри одного гермоблока предлагается независимо работать двум разным комплектам головок (двухактуаторный БМГ) (мы писали об этом). Теоретически это должно снизить энергопотребление при сравнении с одноактуаторными моделями такого же объема, но основная причина разработки таких моделей не в энергоэффективности, а в производительности. Жесткие диски уже давно сильно уступают твердотельным по этому параметру, и массовое распространение SSD до настоящего времени сдерживала только их относительно высокая стоимость. Однако ценовой барьер постепенно тает, и в скором времени может оказаться так, что жесткие диски при сравнении с твердотельными будут как черепаха и ахал-текинский скакун.

Использование двойного актуатора теоретически дает двойной прирост производительности, так как внутри одного и того же гермоблока начинают работать два физически разных комплекта головок. Разработчики обещают увеличить производительность дисковой подсистемы, кроме теоретических 100%, еще как минимум на 50% за счет организации внутри такого гермоблока (по сути, это два разных жестких диска в одной банке) RAID-массива уровня 0 (страйп). Логично заключить, что такой сумасшедший прирост производительности моментально делает жесткие диски нового поколения весьма конкурентоспособными при сравнении с твердотельными дисками даже среднего сегмента, ведь сейчас производительность дисковой подсистемы упирается не в производительность самого устройства, а в производительность интерфейса. Именно поэтому разрабатываются и внедряются новые скоростные интерфейсы, такие как SD Express, USB 3.2, NMVe и т.п. Но вдохнуть «новую жизнь» в старый добрый SATA без радикального увеличения производительности SATA-устройств невозможно.

Именно эту задачу и решает двойной актуатор.

Естественно, основной конкурент корпорации Seagate – Western Digital – никак не мог оставаться в стороне и смотреть, как Seagate отъедает солидную часть рынка жестких дисков. Вообще, эти два гиганта цифровых устройств хранения информации идут в ногу достаточно синхронно и делят рынок почти пополам. Оба почти одновременно начали делать жесткие диски форм-фактора 2,5 дюйма толщиной 5 и 7 мм; оба почти одновременно начали выпускать гибридные накопители SSHD и вести разработки (а затем и выпускать) твердотельные диски; с завидным постоянством оба производителя анонсируют и выпускают рекордсменов емкости (сначала 8 Тб, потом 12, теперь 16 и идет разговор о 20); и так далее.

И вот Western Digital анонсирует, что разработки дисков с двойным набором головок идут полным ходом. Эта информация появилась недавно на сайте ANANDTECH. Не буду утомлять вас описанием самой технологии – она ничем не отличается от уже анонсированной корпорацией Seagate технологии Mach2. Остановлюсь лишь коротко на том, чем нам эта технология «грозит».

Итак, первый плюс от ее внедрения – это заметный прирост производительности дисковой подсистемы, которая, теоретически, должна заработать с такой же скоростью, как SSD среднего уровня. Это раскрывает новые горизонты для геймеров, видеоредакторов и других пользователей ПК, работающих с большими объемами информации. Второй плюс также очевиден – намного большая емкость устройства при относительно невысокой (относительно твердотельного диска) цене. Ну и третий плюс – это несколько более низкое энергопотребление. Разработчики что Seagate, что WD обещают снизить энергопотребление двухактуаторных дисков примерно на 25 – 30 %. В пределах одного компьютера это немного, но в пределах глобального энергопотребления – немало.

Собственно, плюсы на этом заканчиваются, и начинаются минусы.

Первый и самый главный минус – эти устройства будут статистически менее надежны, чем одноактуаторные диски, а с реализацией страйп-архитектуры надежность уменьшается еще больше. Уменьшение надежности объясняется простой механикой и элементарной логикой: чем больше в устройстве движущихся частей, тем больше вероятность выхода из строя любой из них.

Из первого минуса вытекает второй: в случае выхода из строя такого диска восстановить с него данные будет намного сложнее, особенно – при использовании технологии страйпирования. Почему? Причины просты. Во-первых, работа двойного актуатора означает совершенно иную физику (и прежде всего – аэродинамику) внутри гермозоны, а значит, более тонкую работу микропрограммы и более тонкие настройки головок. Во-вторых, если используется страйпирование, для восстановления данных будет необходимо получить содержимое каждой пластины; пропуск одной будет означать невосполнимые для большинства файлов потери, а значит – невозможность восстановления данных. Таким образом, диски с физически поврежденными поверхностями (запилы, царапины) автоматически попадают в категорию «восстановление данных невозможно или возможно с очень небольшим процентом выхода годного» даже если повреждена только одна поверхность из всех. Такое невозможно для подавляющего большинства одноактуаторных дисков: даже при повреждении одной (или в некоторых случаях больше) поверхностей восстановление значительной части данных все еще остается возможным.

Третий минус также очевиден, как первые два: для обеспечения надежности хранения информации ее дублирование (не резервное копирование, а именно дублирование) становится одной из первостепенных задач построения систем, в которых будут работать двухактуторные диски. А это, как ни печально, убьет одно из перечисленных выше преимуществ, а именно – относительно низкую стоимость и относительно высокую энергоэффективность.

Таким образом, пока что, в чистой теории, я могу характеризовать двухактуаторные диски как кота в мешке: при очевидных плюсах имеются весьма существенные минусы, которые лично меня отвратят от покупки такого устройства как минимум в первые годы его промышленной реализации. Однако если производители реализуют двухактуаторные модели с единственной головкой на кронштейне (то есть одна пластина, две покерхности, с каждой из которых работает независимая головка) – такой диск я бы купил не задумываясь, так как использование его в качестве системного заметно ускорит работу дисковой подсистемы компьютера.

Станислав К. Корб ©2019

Seagate Challenge. Восстановление данных с диска Seagate с утерянной ПЗУ

Настоящим испытанием наших возможностей стал поступивший несколько дней назад заказ. Жесткий диск Seagate Momentus Thin из залитого колой ноутбука. Диску хорошо досталось: плата электроники полностью мертва, включая микросхему ПЗУ. Электрический шок. Для накопителей Seagate, начиная с поколения Barracuda 7200.11, это критично: содержимое ПЗУ уникально, без него даже с диска с исправными головками данные извлечь нельзя. Уникальность содержимому ПЗУ придают четыре блока адаптивных параметров, без использования которых головки не смогут найти серворазметку и выйти на нормальную работу. Если у диска нет адаптивов, он просто стучит в безуспешных попытках найти сервометки, и через какое-то время паркует головки и останавливает вращение шпинделя.

Этот заказ был именно таким. Содержимое ПЗУ утеряно. Вместе с диском прибыло 4 платы электроники от аналогичных дисков – владелец устройства пытался запустить диск, используя другую плату. Конечно же, это не помогло: в других платах – другие ПЗУ и другие адаптивные блоки. При установке этих плат на диск максимум, что он получил – это недолгая «работа» диска со стуком. Да, не самый приятный результат…

Восстановление данных с диска Seagate с утерянным ПЗУ возможно, хотя и дорого. С такой задачей в мире могут справиться очень немногие компании. К счастью, мы входим в их число: наши партнеры – одни из самых больших в своем сегменте компаний, имеющие доступ к базе заводских прошивок ПЗУ накопителей Seagate. Конечно, их помощь совсем не бесплатна, однако у подавляющего большинства фирм, занимающихся восстановлением данных, таких возможностей нет.

По нашему запросу и согласованию с заказчиком содержимое ПЗУ неисправного диска было куплено; к счастью, гермоблок и головки не пострадали, и после прошивки исправной платы полученной ПЗУ диск запустился и отдал данные.

Станислав К. Корб ©2019

SD Express, microSD Express — новая жизнь SD карт

24 февраля 2019 г. на youtube-канале SD Card Association было опубликовано весьма примечательное видео, анонсирующее новое поколение SD и microSD карт: SD Express, microSD Express. Эта видеопрезентация была приурочена к недавно проходившей выставке MWC 2019 (Mobile World Conference), на которой, собственно, и были анонсированы новые карты памяти. Собственно, новости о новом стандарте карт памяти типа SD появлялись и раньше, с мая 2018 г., но это были предварительные данные, а текущая новость – это уже практически реальность.

Итак, что такое SD Express и microSD Express? Прежде всего – скорость. Заявленная разработчиками нового стандарта скорость передачи данных составляет до 985 МБ/с. Как утверждается в ролике, теперь для SD-устройств доступна скорость SSD. Чтож, это близко к правде…

Основная особенность нового стандарта – это используемые интерфейсы, с помощью которых, собственно, и достигается высокая скорость. Это PCI Express (PCIe) и NVM Express (NVMe). Для новых карт, естественно, будет обеспечиваться обратная совместимость с имеющимися SD и microSD-хостами предыдущих поколений, поэтому для того, чтобы использовать такую карту памяти на ее максимальной скорости, нужно будет поискать совместимые с новым стандартом устройства.

Еще одно отличие новых карт памяти – наличие двойного питания; для активации высокоскоростного режима требуется наличие как трехвольтового питания, так и нового, 1.8 вольт. Соответственно, на старых SD-хостах, где имеется только одно питание, эти карты будут работать в медленных, «предыдущих», режимах.

Естественно, основными областями применения карт памяти нового типа называются ресурсоемкие видео (Full HD, Ultra HD и пр.), фотографии 360 градусов и фотографии большого разрешения, стриминг и пр. – производительности этих карт с лихвой хватит на поддержание высококачественного видео в несколько потоков. Разработчики стандарта SD Express и microSD Express утверждают, что их карты памяти по производительности вплотную подходят к твердотельным дискам. Чтож, посмотрим. Судя по всему, производство и продажа этих карт начнутся уже в текущем году – а значит, мы их скоро увидим не только в презентациях.

Станислав К. Корб ©2019

USB поколение 3: разработчики решили оставить единственный рабочий стандарт – 3.2

Третье поколение интерфейса USB (Universal Serial Bus) – самое «разнообразное» из всех, до него разработанных. Тут вам и исходный стандарт USB 3.0, и последовавший за ним USB 3.0 Generation 1, а затем и Generation 2, и USB 3.1, и, наконец, 3.2. При этом скорость интерфейса последовательно нарастала с 5 до 20 Гбит/с.

Замечу, что и у USB 3.2 не все так просто с версиями: имеются версия USB 3.2 Generation 1, Generation 2 и Generation 2×2. Соответственно, для того, чтобы не путать пользователя, которому по большому счету все эти термины не нужны и только путают, утверждены торговые названия (marketing name) для каждого типа интерфейса: SuperSpeed USB для USB 3.2 Gen 1, SuperSpeed USB 10 Gbps для USB 3.2 Gen 2 и SuperSpeed USB 20 Gbps для USB 3.2 Gen 2×2. Почему так?


Кабель USB 3.2 тип С внешне не отличается от кабеля USB 3.1 тип С. За счет этого обеспечивается обратная совместимость

Дело в том, что USB Implementers Forum (организация, которая занимается стандартизацией и поддержкой интерфейса) на MWC 2019 в Барселоне (MWC – Mobile World Congress, Мировой конгресс Мобильных устройств) решила, что пора привести третье поколение USB к единому знаменателю, и анонсировала, что все стандарты USB третьего поколения будут приведены к единому, последнему. Что это значит?

А значит это следующее. Все, что существовало для третьего поколения USB до настоящего времени, будет стандартизовано под едиными спецификациями. Все разновидности стандартов USB третьего поколения будут «поглощены» спецификацией 3.2 (при этом, вестимо, будет обеспечена обратная совместимость, ведь устройств с интерфейсами USB 3.0 и 3.1 разных поколений выпущено немало). Соответственно, для «медленных» интерфейсов USB 3.0 и USB 3.1 Gen 1 теперь будет существовать только интерфейс USB 3.2 Gen 1 (SuperSpeed USB), для интерфейса USB 3.1 Gen 2 теперь будет существовать только USB 3.2 Gen 2 (SuperSpeed USB 10 Gbps), ну а собственно USB 3.2 остается под названием USB 3.2 Gen 2×2 (SuperSpeed USB 20 Gbps). Запомнили?


Соответствие новых торговых названий интерфейса USB 3.2 старым типам третьего поколения USB 

Вы скажете – а для чего запоминать? Для того, чтобы не купить что-то неподходящее для вашей электроники, конечно. Ведь теперь не будет стандарта USB 3.0, а будет стандарт SuperSpeed USB. И для того, чтобы ваше устройство работало, оно должно быть совместимо с USB 3.0, то есть – SuperSpeed USB. Если в вашем компьютере «старое» гнездо USB 3.0, то воткнув в него устройство USB 3.2, вы точно не получите прироста скорости и производительности. Обратная совместимость, конечно, обеспечена – то есть работать устройства 3.0 на интерфейсе 3.2 будут, но со скоростью 3.0. А зачем платить больше, если можно купить устройство с поддерживаемой скоростью намного дешевле, ведь не секрет, что устройства на интерфейсе USB 3.2 стоят дороже.

Станислав К. Корб ©2019

Пример фейковой флешки на 32 GB. Восстановление данных в Бишкеке, Кыргызстан

Сегодня поступила в работу довольно любопытная флеш-карта – USB PEN-drive ADATA 32 GB. Устройство примечательно тем, что является практически новым, куплено буквально несколько дней назад, и после записи на него данных перестало работать. В системе флешка определяется как Generic USB Flash Disk USB Device, однако при попытке доступа к устройству его емкость определяется системой как 0 байт.

Пристальное знакомство с устройством показало, что оно является довольно грубой подделкой известного бренда ADATA. Давайте рассмотрим все признаки «фейковости» этой флешки.


Идентификация в системе нашей фейковой флешки

Начнем с внешних признаков. Обратите внимание на качество печати надписей на корпусе флешки. Даже небольшого увеличения достаточно для того, чтобы увидеть, насколько неаккуратно сделаны надписи. Особенное мое внимание привлекло качество печати цифры «0» в названии модели – у нуля явственно виден небольшой «хвостик», который делает его похожим на букву «Q». Я сначала подумал, что это мусор налип, но при увеличении оказалось, что это просто потекла краска при печати надписи.


Внешний вид фейковой флешки, с увеличенными фрагментами надписей

Еще один момент, на который нужно обратить внимание – это качество изготовления черного ободка между корпусом флешки и USB-разъемом. На фотографии отчетливо видно, что он неровный, как будто бы мятый. У оригинальной флешки надписи на корпусе будут выполнены четко и без огрехов, а все пластиковые элементы корпуса будут гладкие и ровные. Заглянем внутрь флешки. Тут все становится еще более очевидно. Во-первых, c NAND-микросхемы стерта маркировка. Соответственно, узнать по маркировке, с каким чипом мы имеем дело, невозможно. Во-вторых, контроллер флешки залит компаундом – соответственно, на каком контроллере построена флешка, визуально мы не узнаем. Ну и в-третьих – качество пайки. Элементы посажены криво, припой нанесен неровно, флюс до конца не смыт – пайка явно не имеет ничего общего с заводской.


NAND-микросхема фейковой флешки. Все маркировки стерты

Контроллер нашей фейковой флешки и общий вид пайки электронных компонентов

Увеличенные изображения, показывающие некачественность пайки электронных компонентов нашей фейковой флешки

Ну и контрольный в голову. На флешке – единственный NAND-чип. Берем его, выпаиваем, ставим в NAND-reader комплекса РС-3000 Flash. Читаем идентификатор микросхемы – это TC58NVG5D2FTA00. Чип емкостью 4 GB. 32 GB тут и не пахнет =).


Идентификация NAND-микросхемы из нашей фейковой флешки с помощью комплекса РС-3000 Flash

Станислав К. Корб ©2019

Источник: Хабр

«Брендированные» флешки. Кот в «брендовом» мешке.

Недавно у одного моего знакомого случился неприятный казус. Его сын делал школьное домашнее задание по информатике, но результат его трудов исчез. Ребенок использовал в качестве носителя информации USB-флешку, на которой был нанесен логотип фирмы моего знакомого, и вот именно в этой флешке и оказалась проблема. Если бы этот случай был единичным, то его можно было бы и пропустить мимо, но среди специалистов по восстановлению данных такие флешки («брендированные»; их еще называют «подарочные») – уже давно набившая оскомину проблема.

Как свои брендированные флешки сделал мой знакомый? Заказал по интернету удовлетворяющие по параметрам устройства с более-менее отвечающим фирменному его дизайном (это важно), и заказал в полиграфической фирме нанесение на приехавшие по этому заказу флешки нужного рисунка. Вроде бы все просто, но … желание сэкономить сыграло с ним злую шутку.

Где купить что-то из электроники подешевле? Правильно – на Алиэкспрессе. Туда и пойдем. По запросу «USB флешка» на этой платформе – больше полумиллиона результатов. Ставим фильтр «самое дешевое сначала» и начинаем знакомиться с продукцией. О, вот вроде неплохой дизайн, и цена за ходовые 16 гигабайт при быстром интерфейсе USB 3.0 – чуть меньше 189 рублей; это немногим меньше 3 долларов. Что нам предлагает в той же весовой категории одна из наиболее дешевых российских торговых сетей «ситилинк»? Флешки ценой от 290 рублей (4,3 доллара). Логично заключить, что при необходимости закупки 100 – 200 устройств выбор будет сделан в пользу алиэкспресса – тем более, что доставка будет бесплатной (хотя и долгой).

Возникает закономерный вопрос: почему такие флешки опасны? Но ответ на этот вопрос мы получим только после того, как ответим на другой вопрос: почему эти флешки так дешевы?


Заманчивое предложение флешки 16 ГБ на Алиэкспрессе

Самая дешевая флешка 16 ГБ в электронном дискаунтере «Ситилинк»

Почему так дешево?

Стоимость любого электронного товара складывается из четырех частей: непосредственно сами электронные компоненты, работа по их сборке в устройство (assembly), стоимость выходного тестирования и наценка (прибыль). Понятно, что для уменьшения цены можно «бить» по одной из этих частей или по всем сразу; опять же, понятно, что прибыль должна быть обязательно. Поэтому простая логика подсказывает: чем дешевле электронное устройство, тем более низкое качество электронных компонентов, их сборки и тестирования мы в итоге получаем.

Насколько много можно сэкономить на сборке флешки? В принципе, несколько центов: количество припоя там минимально, кусок текстолита также небольшой, травление дорожек производится только с двух сторон, промежуточные слои не делаются. Поэтому такая «экономия» имеет смысл только при массовом производстве десятков тысяч устройств, для того, чтобы соотношение «цена/качество» не подводило соотношение «отказы/репутация». Правда, мне приходилось видеть флешки, разведенные на полистироле чуть толще офисной бумаги, но это редкое исключение: обычно на этом не экономят.

Пойдем дальше. Что такое тестирование флешки? Воткнули – определилась. Форматнули – форматнулась. Записали данные – записалось, стерли – стерлось. Для разнообразия записали какой-то паттерн во все сектора, проконтролировали (верификация) – все так, как записали. Замерили скорость операций – в пределах нормы. Вот, наверно, и все. Как тут экономить, если по идее все операции можно выполнять с помощью небольшой программки-тестера, которую может написать средний программист за пару бутылок пива? Можно, конечно, вообще ничего не тестировать – экономиться будет время – но, как показывает практика, лучше отловить сборочный брак до того, как он был продан, чем потом бодаться с недовольным клиентом, ловить негативные отзывы о своем товаре и все такое прочее.

В общем, как ни крути, а получается так, что максимально сэкономить можно только на использовании сильно недорогих электронных компонентов. А что является основным компонентом флешки? Конечно же, NAND-микросхема.

Ну а теперь давайте вместе думать. Китайский мини-завод, который выпускает мега-дешевые флешки с мудреными названиями «Kingstom» или «Tranescend», должен где-то закупать NAND-микросхемы и прочие компоненты. На сайтах производителей или их реселлеров можно посмотреть цены на хорошие чипы. Какие чипы хорошие? Те, которые производят известные бренды, которые идут с их заводов, имеют сертификаты и прочие гарантии качественного продукта. Вот, к примеру, цена с сайта Mouser: самый дешманский вариант чипа 16 GB – от 9 долларов при покупке от 100 штук. Если покупать от 1000, то это будет чуть больше 8 долларов.

Три бакса за готовое устройство не получается никак. И даже 4, как в ситилинке (об этих устройствах я расскажу в другой раз – там тоже довольно интересно). Получается минимум 10 – 12.


Предложение NAND-микросхем «с родословной» на сайте Mouser

Детали по предложению наиболее дешевого чипа емкостью 16 ГБ на сайте Mouser

Так откуда такие цены? Естественно, без обмана тут никак. И этот обман – в использовании некондиционных электронных компонентов.

А в чем обман?

Ну, поехали. Главных методов обмануть с флешками два.

1) Некондиционная NAND-память. Изготовители таких флешек покупают с заводов или околозаводных свалок отбраковку микросхем. Это не обязательно чипы емкостью 16 GB – любая емкость сгодится. Могут быть два по 8, или один на 64, но с кучей дефектных страниц, и т.п. Продают такие чипы не штучно, а на вес, и цена получается невысокой (примерно полдоллара за чип после отбраковки уж совсем откровенного хлама, который применить просто не получится). В дело идет все – обрезки больших чипов, объединение нескольких мелких чипов внутри одного устройства, объединение обрезков больших чипов (лично наблюдал два NAND-чипа по 64 GB, которые на выходе отдавали… 8 GB общей емкости), и т.д. Расчехляем фантазию и придумываем варианты.

2) Кондиционная NAND-память, но значительно меньше заявленной емкости. Такие NAND-чипы (скажем, 1 GB) даже у «хороших» производителей можно купить по цене уже меньше доллара за штуку; а если взять некондицию, то вход одной такой микросхемы получится в районе нескольких центов. Понятное дело, что установка такой микросхемы в устройство, если покупатель обнаружит, что его обманули, ни к чему хорошему для брэнда не приведет, поэтому «производитель» идет на хитрость. Емкость устройства увеличивается до желаемой (в нашем случае это 16 GB) через паспорт, то есть по команде «get ID» устройство отдаст столько гигабайт, сколько нарисовано на его корпусе. Для того, чтобы обман обнаружился не сразу, запись на таком устройстве или зациклена (кончился гигабайт – погнали писать снова), или эмулирована (кончился гигабайт – делаем вид, что пишем, но ничего не пишем). В моей практике встречалось достаточно и таких, и таких устройств.

Конечно, существуют и другие методы обмануть. Например, внутрь корпуса флешки можно вообще не ставить NAND-чип – флешка будет «работать» благодаря зашитой микропрограмме, но ни отформатировать, ни записать данные на такую «флешку» вы не сможете.

Справедливости ради следует сказать, что такой наглый обман я встречал всего пару раз за все время моей более чем 25-летней практики, однако как потенциальную возможность его не следует исключать.

Что же делать, как же быть, если дарят на халяву «брендированную» флешку?

Ну, конечно, отказываться от подарка нехорошо. Но вы должны четко и однозначно понимать, что этот подарок – не акт великодушия, а банальная реклама, сравнимая с «дарением» вам визитной карточки. Соответственным должно быть и отношение к подарку: это рекламный материал, а не полноценное устройство для хранения информации. Доверять такому устройству достаточно опасно.

Нет, конечно, бывают крупные фирмы, которые не скупятся на изготовление рекламных материалов, в том числе и флешек. Они вполне могут позволить себе покупку хорошей партии хороших флешек у хорошего производителя, нанести на них свой логотип, и вы долгие годы не будете знать проблем с такими флешками. Сам являюсь обладателем такого устройства, на котором нарисован логотип «Мегафона». Но это скорее исключения, чем правило. Саморекламу такими методами небольших фирм (в ходу еще: ручки, кружки, футболки и прочая повседневная мелочь), которые только еще выходят на рынок (те, кто занял на рынке определенную нишу, в такой рекламе уже не нуждаются и часто ее сворачивают). Естественно, они делают это максимально дешевым способом.

Поэтому — брендированная флешка не должна являться доверенным устройством хранения данных. Я рекомендую использовать ее для повседневных нужд: в качестве носителя музыки в машине, в качестве устройства для просмотра фильма на телевизоре, в качестве накопителя для переноски файлов между двумя компьютерами (но не «вырезать — вставить», а «копировать — вставить»), и тому подобное. Помещать на такую флешку файлы в единственном экземпляре я крайне не рекомендую: лучше перебдеть, чем недобдеть.

Станислав К. Корб ©2019

Источник: Хабр

Самые интересные факты из области индустрии хранения информации и восстановления данных

А что можно сказать про самые-самые устройства для хранения данных, самые-самые случаи восстановления данных, самые-самые интересные факты из этой области? Эта подборка – для вас.

Самый маленький жесткий диск. Диск форм-фактора 0.85 дюйма. Диски этого размера начали массово продаваться в 2007 г. корпорацией Toshiba. Исходя из размеров, основным сегментом, куда планировалось применять эти диски, были мобильные устройства – и действительно, их ставили даже в мобильные телефоны (например, Nokia N91). Со временем NAND-память стала сильно дешеветь, и рентабельность производства таких устройств упала. В настоящее время эти диски иногда поступают на восстановление данных, главным образом из профессиональных видеокамер.


На фото — накопитель форм-фактора 0,85 дюйма

Самый емкий носитель информации. В 2016 г. компания Amazon представила диск на колесах. Емкость устройства составила на то время рекордные 100 петабайт; в настоящее время емкость увеличена еще на 25%. Устройство представляет собой фургон размером с морской контейнер, который установлен на шасси мощного тягача. Этот диск на колесах был назван компанией Amazon Snowmobile за белоснежный цвет гаджета на колесах. Для чего потребовалось создание такого устройства? С увеличением объема данных их передача становится слабым местом всей системы. Даже при гигабитной сети передача одного петабайта данных займет не менее 20 лет. Snowmobile перевезет тот же объем информации за 2 месяца. Это достигается очень просто: скорости локальных сетей гораздо выше, чем скорость интернет-соединения, и снежная машина, подключившись к локальной сети компьютера, с которго требуется забрать данные, выкачивает их на максимальной возможность скорости до 100 Гигабит/с; на стороне сервера соединение еще быстрее, поэтому передача данных на результирующий сервер обычно занимает меньше времени.


На фото – жесткий диск на колесах от компании Amazon; фото взято с сайта Amazon.

Самый первый жесткий диск. Он же и самый тяжелый. Он же самый большой. Это диск IBM 350, представленный 4 сентября 1956 г. Это был громадный шкаф, шириной 1.5 м, высотой 1.7 м и длиной 74 см. Вес устройства составлял почти тонну. Внутри устройства находилось 50 «блинов» диаметром 61 см. Несущим данные слоем была специальная краска, содержавшая мелкодисперсные частицы ферромагнитных элементов. Объем диска составлял 3.75 Мбайт.


На фото – жесткий диск IBM 350 в музее

Самый первый жесткий диск форм-фактора 3,5 дюйма был выпущен корпорацией Seagate, его объем равнялся 5 Мбайт, а стоимость составляла около 1500 долларов США. Именно этот диск стал эталоном при создании компьютеров архитектуры IBM AT и IBM XT, а также при составлении первых стандартов передачи данных, принятых основными игроками на рынке IT в то время. ST-506 (именно так назывался тот жесткий диск), без преувеличений, является самым-самым важным устройством в череде продуктов этой компании и всей индустрии, так как позволил ее стандартизировать.


На фото – один из первых жестких дисков форм-фактора 3.5 дюйма

Самый первый жесткий диск для ноутбука (форм-фактор 2,5 дюйма) был выпущен также компанией Seagate, произошло это в 1991 г., а объем такого накопителя составлял 40 Мбайт.


На фото – один из первых накопителей для ноутбуков от компании Seagate. Фото предоставлено Д. Шмыглевым (Симферополь, Крым)

Самые известные жесткие диски Barracuda производства компании Seagate ведут свою историю с 1992 года, когда был выпущен первый диск под этим брендом. Существенным отличием нового диска была скорость вращения его шпинделя – это был самый-самый первый жесткий диск со скоростью вращения шпинделя 7200 оборотов в минуту. Емкость первых накопителей Seagate Barracuda 2LP составляла 1 и 2 Гбайт: это был самый-самый первый жесткий диск, перешагнувший предел в 1 Гбайт.


На фото – жесткий диск Seagate Barracuda третьего поколения

Самые оборотистые жесткие диски были разработаны компаниями Seagate (накопители Seagate Cheetah со скоростью вращения шпинделя вначале 10 000 оборотов в минуту, а затем и 15 000) и Western Digital (накопители Raptor со скоростью вращения шпинделя 15 000 оборотов в минуту). Первые изготавливались с интерфейсом SCSI, а затем и SAS, вторые – традиционный интерфейс SATA.


На фото – накопитель Seagate Cheetah со скоростью вращения шпинделя 15 000 оборотов в минуту

Самая первая флешка была создана израильской компанией M-Systems в 1999 году (апрель 1999 г. – официальная регистрация патента). В 2000 г. была выпущена первая серийная флешка емкостью 8 Мбайт, которая стоила 50 долларов США. Немного позже, к концу 2000 г., были выпущены флешки емкостью 16 и 32 Мбайт. Годом позже компания Mitsubishi приступила к выпуску первых карт памяти; карта Mitsubishi SRAM Card выпускалась в редакциях 1, 2 и 4 Мбайт и имела интерфейс PCMCI.


На фото – карта памяти Mitsubishi SRAM емкостью 1 Мбайт

Самый дорогой жесткий диск для персонального компьютера стоил 4999 долларов США, это был диск емкостью 18 Мбайт производства компании North Star Horizon. Только подумайте – 1 мегабайт дискового пространства стоил когда-то около 280 долларов США! За такие деньги сейчас вы можете приобрести жесткий диск объемом 14 Тбайт.


На фото – выдержка из рекламного постера компьютерных систем North Star Horizon, с ценой на новый на то время диск емкостью 18 Мбайт

Самое известное восстановление данных. В 2008 году американским специалистом по восстановлению данных Джоном Эдвардсом, работающим в компании Kroll Ontrack, были восстановлены примерно 80% данных с накопителя Seagate емкостью 400 Мбайт, пострадавшего в результате крушения шаттла Columbia. Работа по восстановлению данных с обугленного и сильно пострадавшего при падении с высоты в 63 километра жесткого диска заняла около 5 лет; стоимость этой работы не разглашается, однако, исходя из того, в каком состоянии находились пластины диска (диск был сильно оплавлен, а пластины сплавлены вместе и представляли собой почти монолитную структуру), можно предположить огромный объем научных исследований, направленных не только на безопасное разделение потоков данных на разных сторонах пластин, но также и на возврат намагниченности пластин, так как при взрыве шаттла накопитель подвергся воздействию температур в несколько тысяч градусов и неизбежно прошел точку Кюри, а стоимость комплекса таких исследований с последующей реализацией их в виде технологии восстановления данных можно оценить в несколько десятков миллионов долларов США. Все это позволяет заключить, что для некоторых компаний по восстановлению данных в настоящее время перегрев диска и его температурное размагничивание не являются препятствием для восстановления информации.


Снимок экрана с сайта Ontrack Kroll с рассказом о том, как восстанавливались данные из жесткого диска с шаттла Columbia

Самый удачный жесткий диск и самый неудачный жесткий диск в истории индустрии по производству HDD по роковому стечению обстоятельств – одно и то же устройство. Это диск форм-фактора 3.5 дюйма компании Fujitsu, выпускавшийся под названием Fujitsu MPG. Диски этого семейства имели емкость 10, 20, 30 и 40 Гбайт (от 1 до 4 головок, максимально 2 пластины) и обладали фантастическим качеством механики. Довольно часто при таком объеме эти диски не содержали дефектов в заводском дефект-листе (Р-лист), а значит, их поверхности были абсолютно идеальными. То же самое можно сказать и о их головках и системе позиционирования. Использованная технология адаптивных параметров подстройки головки под трек с отклонениями от абсолютного круга (RRO – Repirable Run Out) делала работу системы позиционирования исключительно точной и абсолютно надежной. К сожалению, при изготовлении этих дисков была совершена роковая ошибка – в их основной микросхеме (микроконтроллер) был использован фосфор-содержащий компаунд, который накапливал воду из окружающего воздуха, и в один «прекрасный» момент диск переставал определяться в системе. Прогрев основной микросхемы часто приводил диск в работоспособное состояние, но на очень непродолжительное время. Количество отказов этих дисков носило столь массовый характер, что корпорация Fujitsu отозвала с рынка все проданные устройства, а подразделение, выпускавшее трехдюймовые жесткие диски, было закрыто и не функционирует до сих пор. Ходили неподтвержденные слухи, что управляющий директор этого подразделения сделал харакири, но они не были официально подтверждены.


На фото – легендарный накопитель Fujitsu MPG

Самое курьезное восстановление данных в моей практике случилось совсем недавно, месяца два назад. На восстановление информации прибыл жесткий диск для ноутбука Western Digital емкостью 500 Гбайт. В качестве донора был предложен такой же диск, но емкостью 250 Гбайт. Клиент настаивал на том, что ему где-то кто-то определил, что у диска неисправна головка номер 1, то есть вторая снизу, а остальные головки исправны. Поэтому заем тратить на донора на 10 баксов больше, если у этого диска в 250 Гбайт имеется две головки, и как раз – 0 и 1. Определенная доля истины в словах заказчика имелась, да и диагноз оказался правильным, поэтому я отчитал больной диск по трем исправным головкам, затем «уронил» его в сон, сделал замену головок из донора (только 2 головки из 4), стартанул «уснувшую» плату и, не без танцев с бубном, считал последнюю поверхность. Столь прошаренного и экономного клиента я встретил в первый раз в своей жизни =).


На фото – рутинная работа по восстановлению информации – клонирование неисправного накопителя

Самый наглый обман с емкостью накопителей до сих пор демонстрируют почти все производители этих устройств. Для расчета емкости они используют значение 1000 Мбайт на 1 Гбайт, хотя на самом деле в гигабайте 1024 Мбайта. Это приводит к тому, что емкость устройства, которое вы покупаете, сильно отличается от заявленной. Скажем, если на жестком диске написано 500 Гбайт, то по факту он будет отформатирован на 465 Гбайт. Увы, но ситуация не меняется десятилетиями: маркетологам намного проще делать громкие заявления об очередном прорыве емкости, оперируя тысячамегабайтным гигабайтом, чем реальным, 1024-мегабайтным.


На фото – накопитель Seagate Barracuda с заявленной емкостью 4 Тбайт, который форматируется системой на 3.6 Тбайт

Самый оптимальный режим работы жесткого диска. Корпорация Google в 2007 г. проанализировала работу около 100 000 жестких дисков в своих хранилищах и выяснила, что наименьшее количество отказов и наибольшую производительность обеспечивают диски, работающие при температуре около 40 градусов по Цельсию. Смещение температурного режима в направлении увеличении температуры заметно снижает эффективность работы дисков уже при превышении оптимального значения на 5 градусов; то же самое наблюдается и при уменьшении температуры, но уже на 10 градусов.


На фото – простое подключение дисков к компьютеру «гроздью», весьма далекое от оптимального

Самый странный закон Мура: объем жестких дисков на протяжении всей их истории ежегодно удваивается. В текущем году максимальный объем жестких дисков в сегменте настольных компьютеров в продаже составляет уже 14 Тбайт, а значит, что к концу 2019 г. в продаже должны появиться диски емкостью 28 Тбайт. И это вполне реальная перспектива, так как использование технологии двойного актуатора MACH.2 и разработанной корпорацией Toshiba технологии записи MAMR позволяет увеличить в первом случае количество работающих в диске пластин в 2 раза, а во втором случае – увеличить плотность записи минимум на 50%.


На фото – три поколения мобильных телефонов Apple iPhone с емкостью 8, 16 и 32 Гбайт

Самый большой разброс в объеме жесткого диска получается, если сравнить современный емкий накопитель (14 Тбайт) с первым в мире жестким диском (3.75 Мбайт). Разница между этими дисками составит 3 823 047 раз. При этом современный накопитель больше чем в тысячу раз легче первого и почти в 10 000 раз меньше его по размерам. Если же рассчитывать разницу между современными SSD серверного сегмента (100 Тбайт), то разница составит больше 27 000 000 раз! Таким образом, за почти 60 лет истории разработок и производства жестких дисков их объем был увеличен в миллионы раз, а размеры уменьшены в тысячи раз. Потрясающе, не правда ли?


На фото – монолитная флеш-карта емкостью 32 Гбайт. Для того, чтобы организовать такую емкость в 1956 г., с использованием первого жесткого диска IBM-350, потребовалось бы 8,5 млн. тонн первых жестких дисков

Самый первый стандарт в области передачи данных принадлежит компаниям Western Digital и Compaq. Этот стандарт носил название IDE (Integrated Drive Electronics) и был внедрен в 1986 г. До сих пор по названию этого стандарта жесткие диски с параллельным интерфейсом часто называют IDE-дисками.


На фото – жесткий диск с интерфейсом SCSI, одной из разновидностей IDE

Самый первый АТА-стандарт, т.е. стандарт передачи данных в его современном виде, появился в 1994 г. и носил название АТА-1. Разработка АТА-стандартов завершилась в 2002 г. с выпуском седьмой версии стандарта (АТА-7). С 2003 г. развивается стандарт SATA, накопители с интерфейсом PATA более не выпускаются. В настоящее время активно развивается стандарт SATA 3.2, позволяющий поднять производительность интерфейса до 16 Гбит/с.


На фото – жесткий диск Seagate с интерфейсом PATA (IDE).

Самый быстрый интерфейс накопителей данных на настоящий момент – интерфейс NMVe. Диски с этим интерфейсом работают на скорости PCI-Express шины, их производительность достигает сотен тысяч IOPS при пропускной способности несколько десятков Гбит/с.


Твердотельный накопитель Samsung с новейшим интерфейсом NMVe

Самый вредный миф о восстановлении данных заключается в том, что жесткий диск можно просто открыть, и ничего при этом не случится. На практике при открывании жесткого диска в условиях, далеких от необходимых (вне чистого бокса, без предварительной очистки корпуса и т.п.) в гермозону накопителя немедленно попадает огромное количество мусора, которое приводит к очень быстрому выходу диска из строя в случае его включения.


На фото – последствия самостоятельной разборки жесткого диска с его последующим включением

Самый широко распространенный интерфейс накопителей информации на текущий момент – интерфейс SATA. Более 60% всех устройств этого типа оснащены данным интерфейсом. Второй по распространению – интерфейс USB, им оснащено около 25% всех устройств данного типа. Интерфейсы других типов (SCSI, SAS, Fibrechannel, Thunderbolt и т.п.) составляют в современных устройствах хранения данных не более 15%.


На фото – жесткий диск с интерфейсом SATA

Станислав Корб, ©2018

Что бывает, если падает ваш жесткий диск? Обзор последствий и результатов падений, что можно делать после падения диска, а что — нельзя.

Почему нельзя ронять жесткий диск? Вроде бы современные накопители на жестких магнитных дисках анонсируются как ударостойкие, выдерживающие серьезные нагрузки, но… К сожалению, как бы ни старались производители увеличить ударостойкость дисков, в устройстве, где имеются две оси, большая масса крутящихся кусков стекла и пружинящие головки, удар всегда будет сопровождаться какими-нибудь деформациями, повреждениями или разрушениями.

В этом видео мы рассказываем и показываем, что бывает с жестким диском, если его уронить.

Предупреждаю, что повторение наших опытов может привести к выходу из строя вашего диска и, с большой долей вероятности, к потере данных с него. Поэтому настоятельно не рекомендую повторять наши опыты на устройствах, которые для вас ценны или содержат важные для вас данные.

Станислав Корб, © 2018

Вирусы-шифровальщики: как избежать потерь, и что делать, если ваши файлы зашифрованы?

Каждый третий звонок, который мы получаем, касается вирусов-шифровальщиков. Пользователь обнаруживает потерю данных слишком поздно, когда данные уже зашифрованы, и обращается к нам за помощью с расшифровкой. Увы, помочь мы можем не всегда. Однако, как говорится, профилактика лучше лечения – потому сегодня мы поговорим с вами о криптовирусах, как они работают, чем опасны, в каких случаях можно расшифровать данные и как обезопасить себя от их негативного воздействия.

Что такое вирус-шифровальщик?

С появлением стойких алгоритмов шифрования шифрование как услуга или опция стало весьма популярно. Зашифрованные разделы с данными (BitLocker в Windows, FileVault в Mac и пр.), зашифрованные массивы данных (к примеру, сквозное шифрование Viber или WhatsApp), зашифрованные файлы (встроенное шифрование MS Office, WinRar и пр.) – все это примеры полезного применения функции шифрования. Да что там говорить – шифруются целые устройства (к примеру, iPhone под управлением iOS выше 10 версии или внешние жесткие диски Western Digital My Passport).

Однако стойкие алгоритмы шифрования привели к появлению прослойки граждан, решивших, что шифрование файлов может принести хороший нелегальный доход. Данные пользователя шифруются без его согласия, после чего пользователю предлагается заплатить денег за расшифровку. На заре возникновения этой заразы она не была популярной, так как узким местом в ее реализации была оплата: при желании правоохранительные органы легко вычисляли злоумышленника, что влекло неотвратимое и суровое наказание. Однако развитие технологий привело к возникновению криптовалют. Отследить, кому вы сделали перевод в биткоинах, крайне сложно, а использовать виртуальные деньги очень легко, поэтому, как только криптовалюты прочно вошли в нашу жизнь, в нее также прочно вошли криптовирусы.

Вирус-шифровальщик – это зловредная программа, которая разработана с единственной целью – зашифровать ваши данные. После того, как вирус выполнит свою работу, он даст вам об этом знать: либо покажет на экране при следующем запуске системы сообщение о том, что ваши файлы зашифрованы, либо положит в корень каждой папки с зашифрованными файлами соответствующий файлик с объяснением (обычно это текстовичок с пугающим названием «FILES ARE ENCRYPTED.txt» или подобным). В принципе вы и сами поймете, что с вашими файлами что-то не так, когда попробуете открыть один из них.

Несколько слов о шифровании

История шифрования восходит корнями к античности, и ее основное применение было на протяжении многих тысячелетий связано почти исключительно с военным делом. Зашифрованные военные или разведывательные депеши заставляли ломать головы контрразведчиков многих государств – достаточно вспомнить хрестоматийную историю с немецкой шифровальной машиной «Энигма» и окружающие взлом ее кода легенды. Однако важно понимать, что до 50-х годов прошлого века все шифрование крутилось вокруг аналоговых данных, и, в силу этого, для взлома такого шифра требовалось достаточно небольшое количество попыток, или, как говорят математики, итераций. То есть фактически любой аналоговый код оказывался весьма уязвимым для расшифровки и не мог считаться абсолютно устойчивым (надежным).

Другое дело – цифровые методы шифрования. Естественно, начало этим методам положили методы аналоговые, но очень скоро разработчики компьютерных кодов поняли, что у них практически нет ограничений по объему используемых алгоритмов, ведь компьютер может производить сотни тысяч операций в секунду и оперировать громадными объемами данных. Поэтому от имитации аналоговых методов шифрования типа подмены одного символа другим (или другими в каком-то цикле), исключения символа или повторения символа в закодированной последовательности, разработчики методов шифрования быстро перешли к более надежным методам цифрового шифрования. Первым из них, и наименее стойким, оказалось простое наложение. Суть этого метода проста: на определенные данные накладываются другие данные, а взаимодействия между этими данными описывает какое-то математическое действие. Соответственно, для того, чтобы получить исходные данные, требуется определить, какое именно математическое действие произведено над ними и какое число на эти данные наложили. Имея эту информацию, вернуть данным первоначальный вид ничего не стоит.

Поясню на примере.

Скажем, у вас есть массив данных вида: 1 2 3 4 5.

Для их шифрования применяется число 1, а алгоритм шифрования – сложение. Тогда после зашифровки вы получите данные вида: 2 3 4 5 6 (1+1, 2+1, 3+1, 4+1, 5+1).

Для того, чтобы вернуть данным первоначальный вид, вы должны определить, что использовано число 1, которое складывалась с первоначальными данными. Просто отняв от текущих данных единицу, мы снова получим незашифрованные данные.

Логично, что этот метод оказался слишком простым для расшифровки, поэтому его начали модифицировать. Одна из модификаций – XOR, когда на данные накладывается битовая маска с определенным периодом (скажем, на первые 100 байт данных накладывается, затем 20 байт – нет, потом 200 байт снова да, и так в цикле), а суть наложения – получение результата логического оператора XOR в тех местах, куда маска наложена для определенного набора символов.

Вроде бы, сложно? Но на самом деле, как оказалось, нет. Тут же были написаны соответствующие программы, которые искали эти цикличности в массивах данных, и по ним расшифровывали алгоритмы наложения и математических трансформаций.

В настоящее время распространено шифрование с использованием ключа. При этом сам алгоритм шифрования для стойкости зашифровки не имеет большого значения – значение имеет только ключ. Чем он длиннее, тем больше возможных комбинаций и тем больше времени требуется на то, чтобы определить, какая именно комбинация «откроет» доступ к данным. В настоящее время ключ длины 128 бит «ломается» примерно за час, минимальная длина ключа для обеспечения достаточно стойкого шифрования составляет 1024 бит, а большинство хакеров использует в криптовирусах ключ длиной 2048 бит и больше (атакой «в лоб», простым перебором, такой ключ будет подбираться несколько миллиардов лет).

Как избежать заражения криптовирусом

Существует заблуждение, что хороший (или платный) антивирус обязательно убережет вас от воздействия шифровальщика. Увы, но это именно заблуждение. Новейшие типы вирусов-шифровальщиков легко (и это ключевое слово) преодолевают защиту даже самых современных антивирусов с наисвежайшими базами и полностью активированной защитой. Я настолько часто вижу жертв воздействия криптовирусов, имеющих официальную подписку на антивирусы известных брендов, что давно уже скептически смотрю на всю эту антивирусную «защиту».

Единственный надежный метод уберечься от шифрования ваших данных злоумышленником – не пустить вирус на ваш компьютер. И, как следует из абзаца выше, антивирус в этом может и не помочь, то есть надеяться приходится только на себя и на свое внимание.

Как криптовирус попадает на ваш компьютер

1. Наиболее распространенный способ — вы получаете электронное письмо с вложением. Это вложение и есть или собственно вирус, или программа, которая запускает его скачивание и установку на ваш компьютер. Вложение имеет вид или документа, или картинки, с двойным расширением (хотя может быть и не спрятано, а представлять собой программу сразу же). Например, это замаскированный под pdf исполняемый файл. Злоумышленник меняет иконку файла так, что он выглядит как pdf, но стоит вам его запустить, как оказывается, что это что-то другое. Файлы с двойным расширением запускать категорически нельзя, пусть даже в названии присутствует «я в купальнике на пляже» (да даже если и без купальника…). Двойное расширение – это всегда ловушка.

2. Через социальные сети и мессенджеры. Второй по степени риска путь получить зловреда. Социальные сети и мессенджеры (WhatsApp, Viber, Skype и пр.) – это огромный массив разных данных, от фотографий до документов, но наиболее опасны для пользователя переходы на внешние ссылки. По внешней ссылке вас может ожидать не только картинка приятного содержания или блок новостей, но и инсталлятор зловреда. Поэтому любые переходы по внешним ссылкам лучше делать только тогда, когда вы на 100% уверены в безопасности этого. К примеру, если вас направляют для просмотра новости по ссылке, начинающейся с www.bbc.com, то тут нет никаких проблем, и доверять сайту можно. А вот если вместо этого вы видите www.bbci.com, то идти туда не стоит. Также – если вам предлагают ссылку на один сайт, а на деле выходит ссылка на другой. Это легко проверяется: наведите на ссылку мышкой и посмотрите (в зависимости от браузера, либо над самой ссылкой, либо в нижней части окна) реальный адрес, куда она ведет. Если он совпадает с тем, что нужно – нажимайте. Если нет – лучше не рисковать, так как перед вами обман, и по адресу, куда вас на самом деле перенаправят, может не быть ничего, кроме неприятностей.

3. Через закладки на сайтах. Время от времени злоумышленники получают контроль над теми или другими Интернет-ресурсами. Времена, когда они просто развлекались, «взломав» сайт и разместив на его главной странице картинку пошлого содержания, давно прошли – теперь полученный контроль используется с максимальной выгодой. К примеру, на новостной ресурс в части ссылок размещается вредоносный код, который начинает загрузку и исполнение вируса. Однако такой способ распространения вирусов достаточно дорогостоящ, ведь сайт еще надо взломать, а это – время (которое, как известно, деньги), поэтому используется нечасто.

Есть и другие, менее распространенные и более экзотичные методы атак вирусов-шифровальщиков, однако все они так или иначе завязаны на сетевой безопасности, о которой — чуть ниже.

Как обезопасить себя от криптовирусов

Полагаю, вы уже догадались, что первое и самое главное правило безопасности – внимательность.

1) Получая электронные письма, не запускайте вложение, пока не убедились, что это именно то, что должно быть – то есть у картинки имеется расширение картинки, а у документа – документа, а не исполняемого файла.

2) Получая электронные письма со ссылками на ресурсы в сети интернет, равно как переходя по ссылкам в социальной сети или мессенджере, вначале убедитесь, что ссылка ведет вас именно туда, куда нужно, а не является замаскированной ссылкой на левый ресурс. Переходите по ссылке только тогда, когда убедились, что она безопасна.

3) Не разрешайте устанавливаться на своем компьютере никаким программам, которые разные сайты хотят у вас установить (всякие даунлоадеры и акселераторы). Такие программы обычно «поставляют» вам целый букет компьютерных заболеваний, одним из которых вполне может оказаться и шифровальщик.

Однако надеяться только на свою внимательность довольно наивно, ведь ее уровень падает в течение дня в разы, и то, что вы легко заметили бы утром, можете совершенно легко пропустить днем. Поэтому программная защита необходима.

Но как же быть, если антивирусы не имеют той степени надежности, которая нужна для вашей безопасности?

Не все антивирусы одинаково бесполезны в борьбе с шифровальщиками =). Есть несколько, которые включают так называемую «сетевую защиту», одна из функций которой – отслеживать, что скачивает ваш компьютер из сети и определять, опасно это или нет. В случае малейших подозрений такой антивирус заблокирует исполнение файла и предупредит пользователя, что в его епархию пытается проникнуть зловред (или какая-то другая программа, по поведению похожая на зловред). Правда, эти «антивирусы» называются уже по-другому – экраны сетевой защиты (или сетевые экраны), то есть формально это уже не антивирус.

К сожалению, даже такие экраны не всегда обладают нужной степенью параноидальности, и могут пропустить хорошо замаскированное вредоносное приложение. Оно запустится и произведет свое черное дело.

Как быть, чтоб избежать потерь?

Есть два простых и очень надежных решения – резервное копирование и firewall, программа, функция которой не в отслеживании и отлове вирусов и подозрительных программ, а в контроле работы программного обеспечения системы. Одним из наиболее известных продуктов на рынке таких программ является Agnitum Outpost.

Установив такую программу, отключите режим самообучения. Программа начнет запрашивать разрешения на запуск установленных в системе приложений, на те или иные акции, которые приложения выполняют в системе (изменение памяти, прослушивание портов и т.п.). Тем приложениям, которым вы доверяете, вы можете разрешить активность на постоянной основе, отметив специальную галочку – при этом при повторном запуске firewall уже не будет спрашивать, что делать с тем приложением, которому вы уже доверяете. Суть использования этой программы очень проста: она реагирует на запуск любого приложения, которое исполняется в системе. И если firewall вдруг запросит у вас разрешение на исполнение программы, о которой вы ничего не знаете, которая имеет подозрительное название или требует странные действия (например, изменить содержимое жесткого диска) – смело запрещайте любую активность этой программы.

Это единственный на текущий момент, реально работающий способ эффективно обезопасить себя от вредоносного воздействия вирусов-шифровальщиков. Собственно, и не только их. Используя firewall, вы обезопасите себя от DDoS атак, попыток взлома вашей системы извне (прослушивание портов, атака через открытый порт и т.п.), использования троянцев или майнеров (о них будут отдельные статьи) и т.п.

Что делать, если ваши файлы зашифрованы

Это самый печальный вариант развития событий. Если вы не использовали firewall, не имеете резервных копий и достаточно вольно используете Интернет – он вполне возможен. Итак, вы обнаружили, что ваши файлы зашифрованы.

Первое. Нужно определить, каким именно вирусом зашифрованы ваши данные, и есть ли для него расшифровщик. Мировое сообщество программистов довольно плотно работает над методами «раскола» криптовирусов, и, как ни странно, для многих из них есть инструменты для расшифровки. Как узнать, поддается ли расшифровке ваш случай? Заходите на страничку сообщества по борьбе с программами-вымогателями и следуйте описанным там инструкциям. Вы очень быстро узнаете, чем зашифрованы ваши файлы и есть ли против этого лекарство.

Второе. Если ваш вирус поддается расшифровке, следуйте инструкциям на указанном выше сайте. В этом случае вам повезло.

Третье. Вирус не поддается расшифровке в настоящее время. Это обычное явление для новых модификаций зловредов, которые еще не «расколола» международная группа борцов с этим злом. У вас есть три опции. Первая и наименее правильная – это пробовать договориться со злоумышленником. Практика показывает, однако, что злоумышленнику плевать на ваши данные и, получив от вас деньги, он может навсегда исчезнуть с горизонта, не дав вам дешифратор (что вполне естественно, так как если дешифратор утечет от него в сеть, его барыши тут же закончатся). Вторая – ждать. Сохранить все ваши зашифрованные файлы где-то, и проверять время от времени, не появился ли расшифровщик.

Наконец, третья опция. Пробовать восстановить ваши данные из теневых копий и из удаленных файлов. Дело в том, что при зашифровке обычно исходный файл не переписывается, а создается новый; после окончания процедуры шифрования новый (зашифрованный) файл остается, а старый (исходный, незашифрованный) удаляется. При большой фрагментации данных и большом количестве папок шансы на извлечение с диска части удаленных исходных файлов довольно велики. Однако к этому процессу нужно подходить очень осторожно, поэтому делать такие операции самостоятельно мы не рекомендуем – обратитесь к профессионалам в области восстановления информации, это значительно увеличит шансы на восстановление хотя бы части утерянных данных.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries