Восстановление информации с карты памяти CFast 2.0

Профессиональные карты памяти CFast стандарта 2.0 появились на рынке относительно недавно (более-менее массово их стали использовать в профессиональных камерах, главным образом Canon, с 2016 года). Не смотря на это, они начали попадать в поле нашего зрения практически сразу после выпуска — но всегда с логическими проблемами (удаленные файлы или карта была отформатирована).

Но все течет, все изменяется — и вот в наших руках первая карта CFast 2.0, неисправная физически. Карта не отдает свой ID, не показывает емкость и вообще ведет себя довольно тихо. Увы, другого выхода, кроме как выпаивать NAND-микросхемы и вычитывать их дампы с последующей сборкой образа, у нас нет.

Тут следует сказать пару слов о том, что такое CFast 2.0. Для многих это просто карта памяти Compact Flash, пусть и с другим коннектором. Однако по факту это твердотельный диск (SSD) со стандартным SATA-соединением. Правда, разъем питания отличается от SATA, но это не мешает устройству по факту оставаться SSD в SATA-исполнении.

Что это значит для нас? Стандартная сборка дампов для этого накопителя невозможна, необходимо использовать алгоритмы, характерные для SSD.

Карта памяти CFast 2.0 Lexar 128 GB, поступившая к нам в работу

Пришедшая в работу карта CFast 2.0 Lexar 128 GB построена на довольно проблемном контроллере SM2246XT — сборка данных на этом контроллере имеет свои сложности, и довольно часто — фатальные для данных. Особенно, когда микросхемы памяти вычитаны с проблемами.

В нашем случае память прочиталась хорошо, а битовые ошибки были почти полностью скорректированы механизмами ЕСС. Мы получили «чистые» дампы в количестве 16 штук (в нашей карте 4 NAND-микросхемы, в каждой микросхеме по 4 банка) по 4 Гбайт каждый.

Карта CFast 2.0 Lexar 128 GB внутри
Коннектор карты CFast 2.0
NAND-микросхема из карты памяти CFast 2.0 Lexar 128 GB (BGA 152)

Для восстановления информации с этой карты пришлось комбинировать два инструмента. Дампы памяти считывались с использованием PC-3000 Flash через специализированный адаптер (BGA-152/132). В этом же комплексе производилась первоначальная обработка дампов (коррекция с использованием ЕСС и перечитывание нескорректированного). После этого дампы были перенесены в PC-3000 SSD, где проводились дальнейшие работы по восстановлению данных.

Семинар 2 — 8 февраля 2020 г.

Дорогие друзья!

Со 2-го по 8-е февраля 2020 г. наш офис в г. Бишкек будет закрыт, мы отбываем в Европу на очередной семинар по восстановлению информации, который будет происходить в офисе одного из наших партнеров.

Во время нашего отсутствия Вы можете связаться с нами по электронной почте, WhatsApp, Telegram или Viber.

Восстановление информации в Бишкеке | Professional Data Recovery Bishkek

Безопасное извлечение USB-устройств. Почему и зачем?

Когда вышла из строя USB-флешка, как минимум в половине случаев это связано с тем, что она не была извлечена из компьютера корректно. Почему так происходит? Давайте разберемся.

USB и Plug-and-Play

Один из неоспоримых плюсов USB — легкость его монтирования в операционную систему. Принцип Plug-and-Play (вставил и работай) реализован давно, и для разных устройств, но все же наиболее полно он оказался открыт для USB-устройств. Подключая к компьютеру USB-флешку, смартфон, камеру, мышку или любое другое устройство с этим интерфейсом, мы получаем это устройство работающим практически незамедлительно после подключения. Поддержка устройств USB давно стала общемировым стандартом практически для всех операционных систем.

Современный внешний твердотельный накопитель на базе шины USB 3.1 (тип коннектора USB-C)

Не многие помнят, как это было в Windows 95, Windows 98 и других операционных системах того времени. Для того, чтобы подключить USB-флешку, требовалось сначала установить ее драйвер: или с дискеты, или с CD-ROM. Только после установки драйвера флешка начинала распознаваться в системе и с ней можно было работать. Соответственно, для того, чтобы перенести данные с одного компьютера на другой на этой самой флешке, требовалось нести с собой и диск с драйверами — в противном случае перенос был невозможен.

Скорости USB. Быстрее, выше, сильнее!

Надо ли говорить о том, что скорость работы первых устройств USB, ограниченная интерфейсом USB первого поколения, была весьма и весьма скромной?

Настоящий прорыв наступил с разработкой стандарта USB 2.0 в 2000 году и последовавшим за ним выходом в 2001 году Windows XP. Эта операционная система уже широко поддерживала огромный спектр USB-устройств, для их использования уже не требовалось установки каких-то особых драйверов (лишь в редких случаях, для устройств, для которых Windows XP не имел встроенного драйвера: некоторые сканеры, принтеры и т.п.; устройства хранения информации на базе интерфейса USB требовали установки особого драйвера крайне редко). Стандарт USB 2.0 обеспечивал неплохую скорость, и шина из Useless Serial Bus (бесполезная последовательная шина; так USB в шутку называли на заре его возникновения, поскольку устройств с его поддержкой было очень мало) революционными темпами превратилась в Universal Serial Bus (универсальная последовательная шина).

Однако скоростей USB 2.0 очень быстро перестало хватать, и разработчики стандарта предложили USB 3.0 — стандарт, скорости которого были максимально приближены к SATA. За короткое время были разработаны три стандарта: 3.0, 3.1 и 3.2; в итоге производители решили, что для третьего поколения USB стандартов как-то многовато, и объединили их все под крылом USB 3.2.

В настоящее время устройства с интерфейсом 3.2 позволяют, например, копировать огромные объемы информации за короткое время. При соблюдении некоторых условий реальная скорость работы внешнего твердотельного диска на шине USB 3.2 будет больше, чем скорость работы внутреннего жесткого диска на интерфейсе SATA.

Безопасное извлечение USB-устройства. Как это работает?

Ну а теперь можно поговорить и о том, о чем, собственно, написана эта статья. Что такое безопасное извлечение USB-устройства?

Впервые эта функция появилась в операционной системе Windows XP, и была реализована на уровне драйверов системы. Конкретно за безопасное извлечение устройств в Windows отвечает драйвер hotplug.dll.

Меню безопасного извлечения устройств в трее Windows 8.1

Для того, чтобы безопасно извлечь USB-устройство, нужно перевести указатель мышки в область системного трея, где выбрать соответствующий значок (см. скриншот выше). После этого нажать на него, подождать, пока система оповестит о возможности безопасного извлечения, и уже после этого извлекать устройство.

При активации безопасного извлечения устройства происходят следующие акции:

  1. Если в очереди записи/чтения на устройство имелись задачи, им ставится наивысший приоритет и производится их выполнение и финализация.
  2. Производится очистка системных областей буферной памяти, имеющих отношение к отключаемому устройству.
  3. Закрываются окна, имеющие отношение к отключаемому устройству (работает не во всех версиях операционных систем).
  4. Производится отмена любых операций внутренней активности устройства с их завершением.
  5. Отключается питание с порта USB, где будет извлекаться устройство, или этот порт переводится в режим ожидания.

Почему так важно безопасно извлекать устройство?

Давайте теперь представим, как будет работать USB-устройство, если мы не используем безопасное извлечение и выдергиваем это устройство, что называется, на живую.

Начнем с того, что устройство вполне может не содержать тех данных, которые вы на него отправили. Я уже показывал то, как работает отложенная запись Windows (ниже привожу это видео еще раз).

Другими словами, то, что вы отправили на устройство какие-то файлы, при небезопасном извлечении устройства вовсе не гарантирует того, что эти файлы будут на вашей флешке.

Это первая опасность.

Вторая опасность заключается в том, что при небезопасном извлечении устройства оно может выйти из строя. Небольшой перекос при извлечении, неравномерность движения в разъеме, слишком сильный нажим и т.п. — могут привести к тому, что произойдет электрическое повреждение устройства (а при небезопасном извлечении оно в разъеме находится под током). После этого устройство остается или ремонтировать, или (в случае невозможности ремонта) восстанавливать более радикальными методами, связанными с выпаиванием NAND-микросхем.

Третья опасность — возможный выход из строя микропрограммы устройства. Любой USB-накопитель, кроме микросхем, в которых хранятся данные (NAND-микросхемы), имеет контроллер. Этим контроллером и управляется устройство. Для функционирования устройства имеется микропрограмма, одной из важных частей которой является трянслятор.

Транслятор — это часть микропрограммы, которая соединяет физиескую адресацию пространства внутри флешки с логической адресацией пространства для операционной системы. Грубо говоря, физические адреса секторов переводятся в LBA, понятные операционной системе. При этом физически первый сектор для Windows во флешке может быть где-то в середине или в конце (совпадение физической и логической адресаций нынче скорее исключение, чем правило).

Так вот, во включенном состоянии флешка довольно часто совершает операции по оптимизации своего адресного пространства, производя соответствующие изменения в микропрограмме. Если в момент начала записи каких-то критических данных флешку выдернуть из компьютера, то эти данные записаны не будут. При следующем включении микропрограмма начнет искать эти данные, не сможет их найти и, как следствие, остановит работу. Устройство попадет в состояние «ошибка». Вывод из ошибки USB-устройств возможен далеко не всегда, для восстановления данных могут потребоваться довольно дорогостоящие процедуры.

Ну и еще одна опасность (четвертая) — это возможный выход из строя внешних жестких дисков, подключаемых через USB. Внешние жесткие диски получают питание через USB, и, соответственно, при внезапном обесточивании (то есть небезопасном извлечении) могут не успеть запарковать головки. При этом головки останутся на поверхности, упадут на нее, что неизбежно приведет к повреждению и головок, и поверхностей — а значит, к потере данных. Извлечение данных с USB-дисков с заклинившими на поверхности головками часто является весьма нетривиальной задачей.

Пятая опасность — выход из строя самого разъема USB. Это возможно по тем же причинам, которые характерны для второй опасности.

Как обычно. Пара практических советов в конце =)

Первый и самый главный совет — не забывайте о безопасном извлечении устройств. Даже если вы очень спешите — поверьте, лишние 20 — 30 секунд, потраченные на эту несложную операцию, могут уберечь вас от значительно больших затрат времени, к которым может привести потеря данных.

Второй совет. Извлекая устройство, старайтесь не перекашивать его, ведь после активации протокола безопасного извлечения часто USB-порт находится в режиме ожидания, и при перекосе может случиться так, что флешка потеряет контакт с портом и потом восстановит его; для системы это будет сигналом того, что в порт попало новое устройство, и система начнет процедуру его определения и использования. А вы при этом устройство уже извлекаете. Системные или аппаратные ошибки при этом весьма вероятны.

2020. Первые заказы

Восстановление информации в Бишкеке | Bishkek Data Recovery

Еще даже не закончилась праздничная неделя нового года, а нам уже пришлось восстанавливать информацию. Да, приходится работать даже в выходные и праздники. Как сказал бы Мандалорец, «таков путь».

В первые дни 2020 к нам обратились со следующими устройствами: 3 жестких диска, две флешки и один iPhone. Расскажу кратко о каждом.

Первый жесткий диск привезли из города Ош — информация нужна была быстро, так как без нее встала работа целой организации. Пришлось подсуетиться и между тостами за праздничным столом (диск приехал 31 декабря еще прошлого года) произвести замену блока магнитных головок и вычитывание диска. Работу удалось выполнить в стахановском режиме всего за сутки, ровно в новогодние праздники: 31 декабря 2019 и 1 января 2020.

Второй жесткий диск — ноутбучная Toshiba. Ноутбук упал во время работы, и диску хорошо досталось. Восстановление данных оказалось возможным, хотя также, как и в первом случае, потребовало хирургии: замена блока магнитных головок.

Третий диск, хвала богам, физически не пострадал. Это оказалась также, как и в предыдущем случае, ноутбучная Toshiba, доставшаяся ее текущему владельцу по наследству от умершего родственника. Требовалось выяснить, какие файлы были удалены после того, как владелец компьютера отошел в мир иной, когда это было сделано, и по возможности восстановить эти файлы. Работа не простая, но вполне выполнимая.

Теперь об iPhone. Очень интересный случай. Аппарат абсолютно исправен, но при обновлении не смог обновиться и выдал соответствующую ошибку. Владелец запаниковал и побежал в ЦУМ, где ему произвели самый простой и доступный в этом случае тип сервиса: обновление прошивки через компьютер («восстановление»). Но поскольку первоначально обновление закончилось ошибкой, ЦУМовский «специалист» просто стер аппарат и перепрошил его как новый. Естественно, все данные при этом были утеряны безвозвратно. Пришлось восстанавливать аппарат из резервной копии, которая была создана программой iTunes на компьютере пользователя перед тем, как он начал обновлять свой iPhone. Почему он сам не восстановил телефон из резерва? Выше я написал — он запаниковал, и напрочь забыл о том, что у него есть эта резервная копия =).

Первая флешка в Новом году оказалась 32 Гб монолитом производства HIKVISION. Увы, монолит оказался абсолютно мертв, и без распайки или разводки его на Spider Board восстановление данных с него невозможно. Заказчик забрал флешку до лучших времен — восстановление с нее информации — дело не из дешевых, так как и производитель еще малоизвестен (а значит, пинаут монолита придется выяснять опытным путем), и само исполнение (монолит) требует использования дорогостоящего оборудования.

Вторая флешка 2020 оказалась попроще: microSD с удаленными файлами. Их удалось восстановить почти все.

Поздравляем вас с наступившим Новым годом и желаем не терять ваши данные!

Заказчик сделал невозможным восстановление информации: Seagate в печальном состоянии на нашем столе

Радиальные царапины от неудачных попыток заказчика самостоятельно вывести задранные головки.

Очередной заказ на восстановление информации, увы, из категории «безнадежный». Диск прибыл во вскрытом состоянии и с весьма плачевным состоянием поверхностей. Головки сорвало в парковочной зоне (скорее всего, упор позиционера деформировался, что привело к удару слайдерами об ось шпинделя). В парковочной области образовался концентрический запил.

Такие типы запилов (тем более, в парковке) можно обойти. Это не просто, но возможно (модифицируется программа старта накопителя, который, вместо того, чтобы проводить полный цикл запуска с рекалибровкой, просто позиционирует головки в нужное нам место). Если бы проблема была только с запилом в парковочной зоне, за данные можно было бы еще повоевать.

Но, увы, заказчик решил самостоятельно демонтировать блок магнитных головок (для чего, сформулировать не смог). Работал без защиты от пыли и грязи, на обычном письменном столе. Как результат: отпечатки пальцев на поверхностях (что в целом не страшно и может быть убрано) и (что намного хуже) несколько радиальных царапин неправильной формы.

Радиальные царапины полностью исключают возможность использования донорского блока магнитных головок, так как при каждом вращении головки неизбежно попадут в область турбулентности, генерируемую царапиной, очень быстро перегреются и выйдут из строя. Кроме того, неизбежны микротравмы поверхности выбиваемой из этих царапин пылью.

Вердикт: восстановление данных невозможно.

Отпечатки пальцев на поверхности. Заказчик работал без соблюдения элементарной чистоты.

Резервное копирование мобильного телефона: суровая необходимость

Резервное копирование телефона — зачем это?

Мобильный телефон очень для многих сейчас заменяет практически все компьютерные устройства: это и фотокамера, и склад фотографий, и калькулятор, и мессенджер (причем не один), и средство доступа к банковским счетам, и средство платежа, и многое другое. Собственно, как телефон — средство связи — он сейчас используется намного меньше, чем все остальное. Просто проанализируйте: как часто вы делаете телефоном фотографии и как часто вы совершаете им же звонки. Разница будет разительной.

Именно поэтому резервное копирование вашего телефона превращается в задачу насущной необходимости, ведь очень часто пользователь не помнит ни логинов, ни паролей, которые когда-то давно ввел в своем телефоне для десятков приложений; не помнит пин-кодов, номеров телефонов наиболее важных контактов, и т.п. Потеря телефона или данных с него будет в этом случае равносильна потере связки ключей: от квартиры, от машины, от гаража… И если другой такой связки у вас нет, то придется вызывать специалистов для взлома дверей, а потом все это ремонтировать и восстанавливать.

Для того, чтобы подобных вещей не происходило, мобильный телефон время от времени требуется резервировать. Это не так сложно, как кажется. Мы рекомендуем производить резервное копирование вашего аппарата еженедельно — тем более, что для этого не потребуется много времени.

Разбиваем резервное копирование телефона на части

Давайте для начала решим, что будем резервировать. Это отнюдь не праздный вопрос — ведь от того, какой тип резервирования вы выберете, будет зависеть то, насколько быстро в случае проблем вы сможете вернуть назад функционал вашего мобильника.

Очевидно, что наиболее ценными данными являются данные приложений (явки, пароли, настройки), контакты, заметки и переписка. Вслед за ними — медиаданные (фотографии и видео). Последний уровень ценности — музыка и другой развлекательный контент. Все остальное принципиальной ценности обычно не имеет.

Таким образом, первое, что следует резервировать — это данные приложений, контакты, переписку. Затем — фотографии, видео. И, наконец, в последнюю очередь (если нужно) — музыку.

Лайфхак: резервируем фотографии в облако. Все, бесплатно и навсегда

Очевидно, что фотографии и видеофайлы — это самый «тяжелый» кусок данных телефона. И их резервирование будет занимать массу времени. Но есть красивое и легкое решение: Яднекс Диск для мобильного телефона.

Установив Яндекс Диск (это можно сделать из Google Play Market если у вас телефон под управлением Android или из App Store если у вас iPhone или iPad), достаточно войти в ваш Яндекс-аккаунт (если у вас такого нет, то его можно создать в процессе открытия приложения) и разрешить автозагрузку фотографий и видеофайлов в облако. Все. Процесс загрузки файлов в облако начнется незамедлительно, и через некоторое время (в зависимости от того, как много данных такого типа хранится в вашем телефоне на момент включения этой опции) все ваши фото и видео будут закачаны на Яндекс Диск. Все, что вам нужно, чтобы не потерять к ним доступ — помнить логин и пароль от этого сервиса.

Автозагрузка фото и видео на Яндекс Диск хороша еще и тем, что сервис делает это автоматически. Как только вы отсняли новый материал, и условия сети позволяют залить файлы в облако (возможно две опции — заливать только по Wi-Fi, или использовать любую сеть), они будут туда залиты. Потерять при этом фото довольно проблематично.

Кроме того, Яндекс обещает безлимитное хранение фото и видео в своем облаке. То есть вы можете не думать о том, сколько там еще места осталось в вашем облаке.

Не бойтесь подключать на один аккаунт Яндекс Диска несколько устройств. Фотографии будут закачиваться в облако со всех телефонов.

Резервирование Apple iPhone: так просто, как это может быть

Резервирование Apple iPhone — очень простая операция. Для того, чтобы полностью зарезервировать ваш телефон, вам понадобятся три вещи: сам телефон, компьютер и кабель для соединения телефона с компьютером.

Установите на компьютер программу Apple iTunes. Скачать ее можно с сайта apple.com. После этого подключите ваш iPhone (или iPad) через кабель к компьютеру. Телефон распознается автоматически; скорее всего, он потребует разрешить или запретить доверять компьютеру. Выберите «Доверять». После этого телефон будет открыт в программе iTunes. Подождите некоторое время, пока программа загрузит с телефона всю необходимую информацию. После этого в верхней левой части программы, около значка «Музыка», появится пиктограмма вашего телефона. Нажмите на нее, и откроется меню управления аппаратом. Выберите «Обзор»; тут и находятся волшебные кнопки управления резервированием. Выберите то, что вам удобнее (я обычно создаю локальную копию, это быстрее; не забудьте выбрать и галочку о шифровании локальной копии), а затем нажмите кнопку «Создать копию сейчас». Процесс резервирования займет некоторое время.

Вернуть телефон к состоянию, на которое сделана резервная копия, можно с помощью кнопки выше — «Восстановить iPhone».

Apple iTunes. Меню управления резервным копированием

Резервирование телефона под управлением Android: используем встроенные инструменты

Для того, чтобы создать резервную копию телефона под управлением Android, также не требуется никакой особой подготовки. В подавляющем большинстве случаев достаточно встроенных в операционную систему инструментов.

Инструменты резервного копирования в телефонах под управлением Android всегда расположены в блоках меню личных данных. Возможно два типа резервного копирования: в облако (на сервера Google) и на внешний носитель (в версиях Android начиная с 6.0; для асти телефонов может быть реализовано в более ранних версиях; в некоторых телефонах может быть не реализовано).

При копировании в облако восстановление телефона возможно только при его инициализации: когда вы введете установочные данные вашего Google-аккаунта, система просканирует его на предмет наличия резервных копий и, в случае их обнаружения, предложит восстановление из резерва. В отличие от этого, восстановление из локальной копии возможно в любое время.

Заключение. Пара советов и пара выводов

Как видите, резервирование мобильного телефона — задача вполне посильная даже для неискушенного в компьютерных делах пользователя. Выводы из этой статьи чрезвычайно просты: выполнение резервирования телефона целиком (а не отдельных его частей) наверняка гарантирует отсутствие головной боли при восстановлении доступа к вашим аккаунтам, переписке, контактам и т.п. в случае непредвиденной утери аппарата или данных с него; сама процедура резервного копирования телефона что в облако, что на локальный компьютер или карту памяти настолько удобны и просты, что пренебрегать этим нелогично и неправильно.

Ну и пара советов.

Совет 1. Как определить, когда требуется зарезервировать ваш телефон? Тут все просто. Когда объем критичных для вас данных после последнего резервирования уже таков, что потеря этих данных окажется невосполнимой. Можно поступить просто и настроить периодичные резервирования — скажем, один раз в неделю. В этом случае, если резервирование происходит в облако, вы даже о нем не узнаете.

Совет 2. Периодически проверять, производятся ли резервирования. Доверять автоматике полностью не стоит: если в системе случился какой-то сбой, то резервирования в автоматическом режиме могут и прекратиться.

Очередная китайская подделка: жесткий диск якобы на 500 Гбайт

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Сегодня к нам в лабораторию поступил довольно любопытный диск. Нет, вначале мы подумали, что это будет рядовой, заурядный заказ — Western Digital на 500 Гбайт, ничего вроде бы особенного, но… При подключении диска к ПАК РС-3000, после вывода диска на интерфейс, оказалось, что его емкость 320 Гбайт, а серийный номер диска при идентификации отличается от того, который написан на этикетке.

Тщательный осмотр показал: гермоблок накопителя относится совсем к другому семейству. Судя по этикетке, диск должен быть Tahoe и иметь явственно выраженные ребра по краям крышки гермозоны. По факту же накопитель оказался из семейства Rider с соответствующим строением крышки.

Собственно, те, кто подделал накопитель, особенно и не скрывали своей активности. Торцевая этикетка накопителя, дублирующая серийный номер, даже не была отделена от печатной основы — мы легко удалили ее, и нашему взору предстала оригинальная, исходная этикетка с серийным номером.

Вполне логично спросить: а для чего наклеивать на накопитель емкостью 320 Гбайт этикетку, на которой указано 500? Кто знает… Судя по истории этого компьютера, был он куплен давно, в те времена, когда такая разница в емкости была существенной по деньгам. Поэтому, думается, меркантильный интерес тут самый оправданный.

Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG
Восстановление информации в Бишкеке | Data Recovery Bishkek | Восстановление данных в Кыргызстане | DataRecovery.KG

Новый полиморфный вирус атаковал компьютеры по всему миру

26 ноября 2019 г. на сайте компании Microsoft появилась пугающая новость: специалисты компании около года назад обнаружили заражение вирусами нового типа; на текущий момент заражено более 80 000 компьютеров по всему миру. Это новый вирус-майнер, который очень сложно обнаружить и еще сложнее уничтожить в силу того, что он имеет полиморфную структуру — то есть массу видоизменений.

Мы уже писали про вирусы-майнеры, поэтому остановимся на них лишь кратко. Вирус-майнер, в отличие от любого другого, имеет, как правило, всего одну цель: использовать ресурсы вашего компьютера для добычи криптовалюты. При этом вы оплачиваете весь банкет злоумышленника: при добыче криптовалют тратятся электроэнергия (это основной внешний ресурс, необходимый для процедуры майнинга) и вычислительные мощности вашей машины (ваша система может начать работать медленнее). Один такой вирус не заработает много денег, однако при создании сетей из майнинговых компьютеров доходы злоумышленника могут быть вполне осязаемыми.

Очевидно, что при заражении 80 000 машин, даже если одна машина будет майнить количество криптовалюты, эквивалентное 10 центам в день, общий доход злоумышленника составит не менее 8 000 долларов. Ежедневно. Очевидно, что овчинка вполне себе стоит выделки.

Эволюция полиморфного вируса Dexphot; кредит: Microsoft.com

Новый вирус получил название Dexphot. Заражение компьютеров производится в виде последовательности из нескольких этапов, описанных на сайте Microsoft следующим образом:

  1. При осуществлении атаки вирус записывает на диск файл-инсталлятор, содержащий две ссылки, с которых впоследствии будет скачиваться основной код.
  2. С одного из этих URL скачитвается инсталляционный пакет.
  3. После этого на диск разворачивается защищенный паролем и зашифрованный архив в формате zip.
  4. Из этого архива разворачивается загрузочная библиотека.
  5. Загружается зашифрованный файл, в котором содержатся три исполняемых файла, которые загружаются в системные процессы посредством process hollowing (осуществляется инъекция).

Блок-схема методов заражения содержится на сайте Microsoft и приводится здесь:

Блок-схема атаки компьютера вирусом Dexphot

Как отмечают специалисты Microsoft, в силу того, что заражение и работа вируса происходят разными способами, его надежная идентификация затруднена. Кроме того, после заражения исполнение вируса происходит по невидимой безфайловой технологии: легитимный системный процесс заменяется на вредоносное содержание и затем запускается из легитимного системного источника (библиотеки или исполняемого файла). При таком методе запуска, когда все изменения кода производятся «на лету» в памяти машины, идентифицировать источник заражения практически невозможно.

Полиморфизм вируса заключается прежде всего в том, каким образом он атакует компьютер. Инсталляционный пакет, загружаемый на компьютер-жертву, на текущий момент существует в 22 разных вариациях (и вовсе не факт, что это окончательное число), в которые входят файлы разных названий, размеров и т.п. Кроме того, количество URL, используемых вирусом для загрузки своего кода, на текущий момент составляет 18 (и, вполне вероятно, это число также может быть занижено). Таким образом, вирус может комбинировать огромное количество комбинаций для заражения: учесть их все стандартный антивирус не в состоянии.

Что же делать? Следовать советам Microsoft, конечно. Они первыми обнаружили эту угрозу, детально ее исследовали — ими же и разработаны методы борьбы. Эти методы — Microsoft Defender Advanced Threat Protection. Вы можете скачать пробную версию этого продукта с сайта Microsoft (ссылка выше), и если вам она понравится — купить ее.

Восстановить информацию с переломленной флешки

Задача. Восстановить данные с переломленной флешки.

Описание проблемы. Флешка имеет физическое повреждение: переломлена.

Результаты диагностики. Методом визуального осмотра определено, что флешка переломлена в области соединения USB-разъема.

Необходимые для восстановления информации процедуры.

  1. Распайка разъема USB на монтажной плате.
  2. Напайка проводников для соединения флешки и USB-разъема.
  3. Проверка соединения.
  4. Включение флешки в штатном режиме, копирование данных заказчика.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Такие заказы обычно не являются сложными, так как возможность привести устройство к состоянию «чтение в штатном режиме» всегда лучше, чем восстановление информации в технологическом режиме.

Зашифрованная microSD: когда данные восстановить невозможно

Задача. Восстановить данные из карты памяти microSD Sandisk 64 GB.

Описание проблемы. Карта определяется в системе нулевым объемом.

Результаты диагностики. Карта памяти неисправна: вышел из строя транслятор (карта определяется правильно, но объем равен 0).

Необходимые для восстановления информации процедуры.

  1. Установка карты на адаптер Spider Board.
  2. Вычитывание карты на PC-3000 Flash.
  3. Восстановление информации из полученного образа.

Результат.

Данные восстановить нельзя.

Особенности заказа.

После чтения выяснилось, кто карта памяти имеет аппаратное шифрование. В этом случае восстановление информации невозможно, так как для применения ключей шифрования требуется нормальная инициализация карты, которая в случае неисправности невозможна.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries