Восстановить данные с диска Seagate ST3100528AS (Seagate Barracuda 7200.12)

Задача. Восстановить данные с жесткого диска Seagate ST3100528AS.

Описание проблемы. Накопитель вскрыт до обращения в нашу лабораторию. Со слов заказчика, стучит.

Результаты диагностики. Диагностика проведена с использованием ламинарного шкафа класса чистоты 100. Выяснено, что в результате непрофессионального вскрытия в далеких от необходимых условиях, внутри диска имеется много пыли. Верхняя поверхность диска имеет многочисленные кольцевые царапины.

Необходимые для восстановления информации процедуры.

  1. Очистка гермоблока накопителя.
  2. Модификация блока магнитных головок для чтения только по исправным поверхностям.
  3. Замена блока магнитных головок.
  4. Подготовка к запуску накопителя в технологическом режиме.
  5. Запуск накопителя в технологическом режиме.
  6. Создание посекторной копии диска-пациента с обходом поврежденных областей.
  7. Извлечение пользовательских данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Вскрытие накопителя в неподобающих условиях всегда приводит к плачевному результату. Не оказался исключением и этот заказ. Часть поверхности была необратимо испорчена (царапины); эти места вычитать не удалось в силу повреждений физического характера. Однако все нужные заказчику файлы оказались на неповрежденных поверхностях, что позволило восстановить их без потерь.

Накопители этого семейства (Seagate Barracuda 7200.12, Pharaoh) при объеме в 1 Тбайт имеют 4 головки; поврежденной оказалась только самая верхняя. При таких раскладах вероятность того, что необходимые файлы окажутся на неисправной головке, составляет 25% — соответственно, шансы на успешное извлечение данных около 75%.

Ремонт жесткого диска или восстановление информации? В чем разница?

Немного терминологии

Вот звонят нам и спрашивают: а вы ремонт жесткого диска делаете? А мы отвечаем — нет, не делаем. Мы данные восстанавливаем. И задает звонящий, казалось бы, закономерный вопрос: а в чем разница? Ведь чтобы данные из жесткого диска восстановить, нужно его в рабочее состояние привести. Отремонтировать, то бишь.

Увы, но это не так. Данные мы можем и из неотремонтированного диска извлечь. И даже из совсем сломанного — скажем, если у него одна головка не работает. Или даже две. Или вот перестала у него микропрограмма работать — ну кирпич кирпичом, а не жесткий диск. А мы все равно можем из него информацию достать.

А все оттого, что ремонт жесткого диска и восстановление из него данных — это вообще разные вещи. Принципиально разные.

Ремонт жесткого диска — последовательность действий, в результате которых на выходе мы получим исправный, готовый к эксплуатации жесткий диск.

Восстановление информации из жесткого диска — последовательность действий, в результате которых на выходе мы получим копию данных из этого жесткого диска.

Восстановление информации из жесткого диска

Как вы уже поняли, для того, чтобы восстановить данные из жесткого диска, нам вовсе не обязательно его ремонтировать. Как так — спросите вы? Вот пара примеров.

  1. Жесткий диск не может запуститься, как следствие — доступа к данным нет. В результате диагностики обнаружено, что часть критичной информации в микропрограмме диска не считывается и, как следствие, эта часть микропрограммы не запускается. Результат: диск не может стартовать в штатном режиме и не дает доступа к информации. Для того, чтобы получить к ней доступ, мы взяли другой, такой же, но полностью исправный, диск, скопировали из микропрограммы неисправного диска нужные для доступа к данным части, перенесли их в исправный диск. После этого запустили исправный диск и перенесли его управляющую плату электроники на неисправный HDD. Таким образом был получен доступ к данным, которые и были успешно скопированы на исправный накопитель. Неисправный диск при этом так и остался неисправным.
  2. Жесткий диск не может запуститься, так как одна из головок чтения-записи в его блоке магнитных головок неисправна. При запуске диск опрашивает головки, и если выявляются проблемы — запуск НЖМД блокируется (диск уходит в защиту). Мы производим логическую подмену неисправной головки на исправную, после чего диск запускается в штатном режиме и мы копируем данные, находящиеся по исправным головкам.

Ремонт жесткого диска

А вот с ремонтом все совсем по другому. Цель ремонта — получить исправное устройство. Как следствие, данные на ремонтируемом устройстве не являются целью проводящихся работ.

Ремонт включает в себя несколько этапов, после которых о данных на ремонтируемом накопителе говорить уже не приходится. Прежде всего, это многочисленные операции заводского самотестирования (selfscan, или selftest). Что это такое?

Самотестирование — заложенная заводом-производителем возможность жесткого диска провести самостоятельный ремонт. Заводское самотестирование требует предварительной настройки и обычно запускается специальной командой. После запуска, в зависимости от состояния диска и его объема, самотестирование продолжается от 12 часов до двух недель. Оно не требует вмешательства оператора, результатом самотестирования будет жесткий диск в двух состояниях: исправное (самотестирование закончилось без ошибок) или неисправное (какие-то части самотестирования прошли с ошибками).

В процессе самотестирования диск проходит многочисленные тесты, один из которых — тест записи. Микропрограмма записывает определенный набор данных в каждый сектор и неоднократно проверяет, как прошла запись, с какой скоростью, и т.п. Это, как вы понимаете, приводит к потере информации.

После ремонта проводится и другой деструктивный для данных процесс: выходное тестирование. Ремонт подразумевает гарантию на него, следовательно, ремонтник должен удостовериться, что ремонт проведен качественно, накопитель работает в пределах эксплуатационных допусков и не выйдет из строя через пару дней по причине скрытого износа.

Восстановление данных из телефона: что мы можем, а что — нет

Довольно часто поступают звонки с теми или иными вопросами относительно восстановления данных из мобильных телефонов. В большинстве случаев это вопросы по нашему профилю (восстановить удаленные фотографии, чаты WhatsApp и т.п.), но иногда поступают и довольно необычные вопросы. Здесь мы остановимся в деталях на том, в каких случаях следует обращаться к нам, а в каких мы не сможем помочь.

Какие случаи подпадают под восстановление данных?

Наша работа — восстанавливать данные из устройства, к которому имеется физический доступ. Что это значит?

Если у вас имеется телефон, с которого были удалены данные, либо телефон пострадал физически (утонул, упал, разбился и так далее) — то вы можете обращаться к нам. В этом случае мы будем иметь дело с устройством хранения данных (media), с которого требуется восстановить информацию.

Шансы на успех в этом случае напрямую зависят от того, сколько долго телефон находился в использовании после потери доступа к данным, и проводились ли с ним какие-то операции. Например, если из внутренней памяти телефона были удалены фотографии, после чего пользователь продолжал активно использовать аппарат, снимать другие фотографии и т.п., то шансы на успешное окончание работ по восстановлению данных стремительно тают с каждым часом использования устройства. Напротив, если после удаления фотографий телефон был немедленно выключен, шансы на успех достаточно велики.

В каких случаях мы не сможем помочь с восстановлением данных?

Если у нас нет физического доступа к устройству, с которого требуется восстановить информацию, мы не сможем вам помочь.

Прежде всего, это связано с тем, что у нас просто не будет физического носителя данных (media), а восстанавливать данные из воздуха, увы, мы не умеем.

Приведу пример.

Поступил звонок от пользователя мобильного телефона, с которого требовалось восстановить чаты WhatsApp. В процессе разговора выяснилось, что телефон утонул, и найти его не удалось. Номер (SIM-карта) был восстановлен у сотового оператора, и теперь требуется восстановить чаты WhatsApp. Но — откуда? Доступа к серверам популярного мессенджера у нас нет. Резервные копии в облаке также не делались. Самого устройства (пусть и утонувшего) нам не предоставили. Откуда брать данные?

Многие почему-то думают, что раз мы работаем в области IT, то можем получить доступ к серверам популярных онлайн-сервисов и добыть оттуда необходимые данные. Вынужден огорчить: подобного рода деяния являются уголовно наказуемыми преступлениями и не имеют ничего общего с восстановлением информации.

Почему мы не помогаем извлекать данные из удаленных серверов?

Все очень просто. Потому что сервисы, предоставляющие такие услуги, не предусматривают доступа к своим серверам третьих лиц. А значит, чтобы получить к ним доступ, необходимо произвести взлом.

Взлом, или по-юридически, получение неправомерного доступа к компьютерной информации, является уголовным преступлением и может наказываться крупными штрафами или тюрьмой на срок от трех (Кыргызстан) до десяти (США) лет.

Правила удаленного или заочного обращения за услугой восстановления информации

В условиях пандемии COVID-19 услуги очного восстановления данных становятся менее востребованными, на первый план выступают услуги удаленного или заочного восстановления информации. Это связано с очевидными рисками заражения при личном контакте, не смотря на использование масок, санитайзеров и других средств защиты. Компания IT-Doctor идет в ногу со временем и не хочет лишний раз подвергать опасности здоровье своих клиентов, поэтому по возможности оказывает свои услуги удаленно или заочно. Для этого компанией разработаны соответствующие протокола.

Протокол 1. Удаленное восстановление информации

Данный протокол вступает в силу в случае, если имеется техническая возможность удаленного восстановления информации.

Восстановление данных осуществляется либо посредством подключения нашего специалиста к удаленному компьютеру с последующим выполнением необходимого для восстановления данных комплекса работ, либо посредством отправки нам удобным для пользователя удаленного компьютера способом файла-образа диска, поврежденного файла либо другого модуля информации для осуществления анализа и работ по восстановлению данных.

Оплата осуществляется по принципу депозита: необходимая сумма депонируется на счетах компании IT-Doctor до начала работ. По окончанию работ стороны приходят к соглашению, что работы выполнены; на основании этого соглашения подписывается Акт выполненных работ, являющийся основанием для зачисления депозита в качестве оплаты за работы. Подписание Акта выполненных работ осуществляется удаленно.

Порядок действий по Протоколу:

  1. Оформление заявки в компанию IT-Doctor на сеанс удаленного восстановления информации (любым удобным способом, см. Контакты).
  2. Определение стоимости удаленных услуг.
  3. Депонирование стоимости на счетах компании IT-Doctor.
  4. Подключение к удаленному компьютеру, выполнение работ / Отправка файлов компании IT-Doctor для проведения работ.
  5. Приемка выполненных работ. Подписание Акта выполненных работ.
  6. Зачисление депозита в качестве оплаты выполненных работ.

Протокол 2. Заочное восстановление информации

Данный протокол вступает в силу, если для восстановления информации требуется физическая передача устройства в лаборатории компании IT-Doctor. Передача может происходить через службы доставки (особенно это касается клиентов компании, проживающих в других городах или странах).

Порядок действий по Протоколу:

  1. Оформление заявки в компанию IT-Doctor на услугу восстановления информации (любым удобным способом, см. Контакты).
  2. Подготовка накопителя к отправке или транспортировке.
  3. Доставка накопителя в офис компании IT-Doctor.
  4. Обработка устройства антисептичческим средством.
  5. Диагностика устройства.
  6. Определение стоимости работ и запчастей (если требуется), сроков работ.
  7. Согласование стоимости и сроков работ.
  8. Проведение работ.
  9. Передача результата проведенного восстановления данных заказчику.

Оплата всегда производится после окончания работ.

Упаковка накопителя

Для отправки накопителя информации, с которого необходимо восстановить файлы, его необходимо правильно упаковать. Чем лучше будет упакован накопитель, тем меньше у него шансов получить повреждения при транспортировке.

Какие требования предъявляются к упаковке:

  1. Снаружи упаковка должна быть достаточно прочной, чтобы выдерживать удары, которым может подвергаться отправление при транспортировке (включая возможные падения посылки).
  2. Внутри, между упаковкой и устройством, должен быть проложен достаточный слой материала, гасящего вибрации. Оптимальным является использование воздушно-пупырчатой пленки, однако, в случае ее отсутствия, с задачами гашения вибраций вполне справляется мятая бумага или обычная, но несинтетическая, вата.
  3. Устройство внутри упаковки должно находиться примерно посередине.
  4. Размер упаковки должен быть больше упаковываемого устройства приблизительно в 3 — 5 раз; тогда количество гасящего вибрации материала будет достаточным для безопасной транспортировки.

Оптимальной упаковкой для транспортировки жесткого диска является стандартная почтовая коробка размером 300 х 200 х 150 мм (гофрокороб) или ее доступные аналоги; для транспортировки карты памяти или оптического диска — почтовая упаковочная коробка наименьшего доступного размера.

Очередная ловушка злоумышленников: несуществующий трекинг

Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности

Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.

Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?

Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.

Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.

WhatsApp FAQ: часто задаваемые вопросы о популярном мессенджере

Нам часто поступают заказы на восстановление информации из чатов мессенджера WhatsApp. В части случаев, к сожалению, нам приходится отказывать в проведении работ в силу их бесперспективности. В этой короткой заметке я собрал наиболее часто задаваемые вопросы о восстановлении информации из сообщений, отправляемых через WhatsApp.

Вопрос: Телефон был сброшен на заводские настройки, требуется восстановить чаты WhatsApp.

Ответ: Если в телефоне не была установлена карта памяти, или не делалась резервная копия в облако, восстановление данных с телефона невозможно. При сбросе на заводские настройки производится полная очистка внутренней памяти телефона, после чего в ней уже нет никаких данных, которые были до сброса. WhatsApp в случае наличия карты памяти может держать базы сообщений на ней, и если телефон даже был сброшен, в приложение можно загрузить сообщения из сохраненных баз. Сброс телефона не затрагивает карту памяти; также сброс телефона не затрагивает сервисы облачного хранения данных.


Вопрос: Я удалил чат некоторое время назад, теперь мне нужно его восстановить.

Ответ: Восстановление чатов возможно только из резервной копии или файлов баз сообщений, которые хранятся в папке Whatsapp вашего устройства. Файлы баз сообщений не хранятся на работающем постоянно телефонее более 2 недель. Соответственно, восстановить удаленный чат можно только в том случае, если у вас имеется резервная копия на нужную дату, или файл баз сообщений на нужную дату.


Вопрос: Удаленные чаты удалось восстановить из файла баз сообщений, но в нем нет фотографий, которые мне присылали в этот чат.

Ответ: Все медиа-файлы, которые присылают ваши корреспонденты через WhatsApp, хранятся в открытом виде (не шифруются) на вашем устройстве. В случае удаления чата медиа-файлы удаляются, а в ежедневных базах сообщений они не хранятся, там хранится только текстовая информация. Таким образом, если медиа-файлы были удалены, их восстановление уже либо невозможно, либо для него требуется сложная процедура сохранения телефона в файл-образ с последующим его анализом.


Вопрос: Как лучше всего делать резервное копирование чатов WhatsApp?

Ответ: Лучше всего, без сомнений, иметь полную копию (включающую медиа-файлы). Если медиа-файлы не будут включены в резервную копию, то при удалении чатов после резервирования вы рискуете их потерять.


Вопрос: Можно ли восстановить удаленные чаты из отчета по информации аккаунта, который имеется у меня в настройках?

Ответ: Нет. В отчете не будет ваших сообщений.

Стоимость восстановления данных. Проблемы в служебной зоне

Служебная зона накопителя — то его пространство, которое используется для его собственных, служебных, нужд. Это: обеспечение работы накопителя (запуск, функционирование, трансляция физических адресов в логические и т.п.), ведение различных системных журналов (SMART, общее время работы, дефекты и пр.) и так далее. Функционирование накопителя без служебной зоны невозможно.

Организация служебной зоны может быть разной, но в подавляющем большинстве случаев служебная зона — это область дискового пространства, куда нет доступа в штатном режиме. В этой области находятся части микропрограммы и других фрагментов служебной зоны, которые называют модулями.

Неисправности служебной зоны, как правило, не приводят к полному выходу из строя накопителя, они проявляются или в неправильной его идентификации, или в сильной заторможенности его работы, или в невозможности получить доступ к данным, или в блокировании работы микропрограммы. Физически диск при этом остается исправным.

Стоимость работ по возвращению служебной зоне работоспособности и обеспечению доступа к данным варьирует от 1000 до 5000 сом, но в некоторых особо сложных случаях может достигать 14000 сом. Как вы уже поняли, стоимость будет напрямую зависеть от сложности и от того, какие ресурсы для успешного завершения работ должны быть задействованы.

1. Легкие случаи

Легкие случаи — те, для восстановления которых не требуется подбора совместимой версии микропрограммы. К ним относятся те неисправности служебной зоны, которые либо корректируются самим накопителем при подаче соответствующей команды (например: переполнение логов подсистемы SMART), либо могут быть скорректированы простой перезаписью поврежденного модуля служебной зоны от аналогичного диска, либо — отключением этого модуля в таблице модулей накопителя.

Стоимость работ по легким случаям составляет 1000 сомов, время выполнения работ — не более получаса. В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

2. Случаи средней тяжести

При средней степени тяжести повреждения служебной информации накопитель уже не может сам исправить имеющиеся проблемы соответствующей командой, а простой перезаписи неисправных частей микропрограммы оказывается недостаточно для организации доступа к пользовательским данным. К таким повреждениям относятся: повреждения системы трансляции; установка максимального уровня парольной защиты при забытом пароле; активированное аппаратное шифрование накопителя (SED — Self Encrypted Drive — самошифрующийся диск) и пр. Для восстановления доступа к пользовательским данным потребуется провести несколько манипуляций, включающих в себя: организацию доступа к служебной зоне; внесение в служебную зону необходимых исправлений; проверку корректности изменений; запуск накопителя и копирование данных.

Стоимость работ по таким случаям составляет от 2000 до 3500 сомов, время выполнения работ составляет от одного часа. В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

3. Тяжелые случаи

К этой группе относятся неисправности служебной зоны, которые еще можно исправить, используя только диск-пациент, но исправление требует глубокого знания функционирования накопителя, организации его служебной информации и шестнадцатеричной системы счисления.

Например: частичное разрушение модулей дефект-листов во всех копиях служебной зоны; частичное разрушение оверлеев микропрограммы во всех копиях служебной зоны; разрушение или повреждение модулей адаптивной информации; и пр.

Для приведения к рабочему состоянию в таких случаях обычно требуется максимально полное вычитывание данных из служебной зоны, а затем восстановление утерянных частей модулей с помощью шестнадцатеричного редактора. Эта работа стоит 5000 сом и может занимать несколько дней.

В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Заложенная прибыль.

4. Случаи, требующие использования исправного диска

Бывают ситуации, когда исправление проблем в служебной зоне накопителя невозможно. Например, разрушения служебной зоны так велики, что накопитель теряет возможность корректной записи. В таких случаях потребуется подготовка диска-клона неисправного накопителя и запуск неисправного диска с использованием диска-клона.

Для этого из служебной зоны неисправного диска вычитывается максимальное количество информации, производятся (если необходимо) манипуляции с модулями (восстановление, ремонт и т.п.), а затем нужные для функционирования диска модули записываются в исправный носитель. После этого исправный диск, если все сделано верно, запускается со всеми параметрами (включая систему трансляции) как у неисправного диска, и нам достаточно перенести проинициализированную таким образом плату электроники с подготовленного носителя на неисправный.

Стоимость этой услуги, по очевидным причинам (необходимость использования исправного диска в качестве запчастей) является достаточно высокой, и может достигать 14000 сомов.

В стоимость таких работ включаются:

  1. Амортизация специализированного оборудования;
  2. Расходные материалы;
  3. Исправный диск;
  4. Заложенная прибыль.

При этом имеется риск, что исправный диск после всех манипуляций уже будет невозможно вернуть в исходное состояние, то есть диск физически будет исправен, но не будет нормально функционировать. Это связано с тем, что в случае записи в накопитель чужих (от неисправного диска) адаптивных параметров у части накопителей запись по этим параметрам окажется невозможной. Это нужно учитывать при планировании расходов, связанных с восстановлением.

Восстановление данных из профессионального диктофона ZOOM Handy Recorder H6

Восстановление данных в Бишкеке | DataRecovery Bishkek
ZOOM Handy Recorder H6

Задача. Восстановить данные из профессионального диктофона ZOOM Handy Recorder H6.

Описание проблемы. Карта памяти из диктофона была отформатирована в фотоаппарате, данные не видны. При восстановлении данных свободно распространяемым через интернет ПО аудиозаписи повреждены.

Результаты диагностики. В результате форматирования утеряна информация о фрагментации аудиофайлов.

Необходимые для восстановления информации процедуры.

  1. Посекторное копирование карты памяти в образ.
  2. Анализ образа, отделение аудиопотока от остальных данных.
  3. Анализ аудиопотока, реконструкция метода записи диктофона.
  4. Подготовка скрипта для сборки аудиопотока.
  5. Сборка аудиопотока, контроль результата.

Результат.

Данные восстановлены полностью.

Восстановление данных в Бишкеке | DataRecovery Bishkek
Неисправная аудиозапись
Восстановление данных в Бишкеке | Data Recovery Bishkek
Та же аудиозапись после исправления

Особенности заказа.

Диктофон ZOOM Handy Recorder H6 записывает многоканальный звук сразу с нескольких микрофонов и компонует аудиозапись таким образом, чтобы максимально увеличить производительность при записи. При этом особенное внимание уделяется качеству звука — звук записывается в формате wav с высоким битрейтом. Файлы при этом получаются достаточно большими. Для оптимизации записи диктофон пишет эти файлы на носитель фрагментированно.

После форматирования флеш-карты из диктофона информация о фрагментировании теряется, и аудиофайл перестает нормально работать. Восстановленный классическими свободно распространяемыми через Сеть приложениями, такой файл проигрывается, но запись представляет собой смесь звуков.

Размер фрагментов зависит от количества подключенных микрофонов и интенсивности записи. Не имея информации о том, каким образом диктофон записывал конкретный аудиофайл, восстановить правильный порядок и величину блоков невозможно.

В каждой папке проекта (аудиозаписи) диктофона имеется файл-описатель формата hprj. В этом файле содержится вся необходимая информация для сборки аудиофайла, пригодного для проигрывания: величина блоков записи, их расположение и порядок. Поскольку данный формат файлов нигде не описан, нам пришлось самостоятельно разбираться с ним и подготовить на его основе скрипт для нашего сборщика mov-файлов.

Процедура восстановления информации с диктофона ZOOM Handy Recorder H6 заняла в нашей лаборатории 2 часа.

Восстановление данных в Бишкеке | Data Recovery Bishkek
Заголовок аудиофайла, записанного диктофоном ZOOM Handy Recorder H6
Восстановление данных в Бишкеке | Data Recovery Bishkek
Фрагмент файла-описателя проекта записи диктофона ZOOM Handy Recorder H6

Стоимость восстановления данных. Логические случаи

Ситуации, когда приходится объяснять, отчего стоимость тех или иных услуг именно такая, а не какая-то другая, случаются не только в IT, но и в целом во всей сфере оказания услуг. Я уже писал о том, как и почему стоимость той или иной услуги по восстановлению данных составляет именно ту сумму, которую вам озвучили, однако вопросов не становится меньше, поэтому было принято решение разложить прайс на пять частей (логические проблемы, проблемы в служебной области накопителя, замена блока магнитных головок, прочие физические проблемы, дисковые массивы) и по каждой из этих частей написать подробную статью. Перед вами первая часть из запланированных пяти — о том, из чего складывается стоимость логического восстановления данных.

Что такое логические проблемы? Под этим общим названием принято понимать те случаи, когда накопитель физически исправен, но по каким-то причинам пользователь не может получить доступ к своим данным. Замечу сразу, что при некоторых проблемах со служебной зоной поведение накопителя может быть таким же: накопитель исправен, но доступа к данным нет. Какая именно проблема приключилась с конкретным диском, можно выяснить в ходе диагностики, которая у нас бесплатна.

Логические проблемы условно можно разделить на следующие типы:

  • Полная или частичная перезапись данных (переустановка операционной системы без предварительного резервирования данных; удаление информации с последующей записью новых данных; и т.п.).
  • Форматирование раздела.
  • Удаление информации.
  • Шифрование данных (как инициированное вирусом-шифровальщиком, так и самим пользователем).
  • Ошибки операционной системы (запись в сектора модифицированных или неверных данных).
  • Проблемы интерфейса (криво установленный кабель, в результате чего происходит искажение сигнала и запись неверных данных; помехи от сильного источника электромагнитного поля, приводящие к искажению сигнала; и т.п.).
  • Преднамеренное или непреднамеренное изменение структуры данных (например, замещение некоторых секций файла другими секциями того же или другого файла).

Полная или частичная перезапись данных

Перезапись данных всегда приводит к невозможности 100%-ного восстановления информации. Наиболее распространена переустановка операционной системы без предварительного резервирования данных.

Стоимость работ по извлечению информации после ее перезаписи варьирует в широких пределах. В нашей лаборатории вы можете получить эту услугу по цене от 1000 до 5000 сомов в зависимости от сложности. В лабораториях крупнейших мировых центров по восстановлению информации (с некоторыми из них мы имеем партнерские отношения, поэтому в некоторых случаях мы можем помочь через наших партнеров) стоимость таких работ может составлять до нескольких сотен тысяч долларов. Такая цена возможна в случаях, когда производится восстановление данных по остаточной намагниченности с использованием туннельного электронного микроскопа. Это кропотливая, длительная и непростая процедура, требующая дорогостоящего оборудования (туннельного микроскопа) и программного обеспечения (сшивающего RAW-споты слоев остаточной намагниченности в треки и декодирующего их в бинарном виде).

Стоимость услуги по восстановлению данных после перезаписи в нашей лаборатории складывается из следующих компонент:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование текущей файловой системы для определения карты секторов, которые используются в ней.
  3. Создание карты секторов, не использующихся в текущей файловой системе.
  4. Поиск валидных данных в обеих созданных картах, выливка данных на диск-приемник.
  5. Анализ полученного результата, удаление поврежденных файлов.
  6. Амортизация ПО, используемого для восстановления информации.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Работа может проводиться не в один проход. Финальная стоимость зависит от того, какой объем данных нам придется обрабатывать — чем больше объем, тем больше на работы требуется времени, тем большее время будет занято специальное оборудование и тем выше будет окончательная стоимость работ.

Форматирование раздела

Также, как и предыдущая проблема, является одной из наиболее широко распространенных. Форматирование раздела может происходить как случайно, так и намеренно. Результат: раздел имеется, данных в нем нет.

Стоимость восстановления данных из разделов после форматирования варьирует от 1000 до 10000 сомов. Складывается она из следующих моментов:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование файловой системы и реконструкция ее структуры до форматирования.
  3. Выливка данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

В случае с форматированием раздела цена работ зависит от объема накопителя (чем он больше, тем больше требуется времени на производство работ и тем выше, соответственно, их стоимость) и от типа раздела. Дешевле всего восстановить данные из форматированных разделов NTFS, так как структурные особенности разделов этого типа позволяют полностью реконструировать исходную файловую систему с минимальными затратами времени. Наиболее дорогими для восстановления информации после форматирования являются разделы FAT и ZFS, так как их структурные особенности требуют больших объемов ручной работы (в первом случае как результат фрагментации, во втором — сжатия информации).

Удаление информации

Довольно часто бывает так, что пользователь или третье лицо случайно удаляет нужный файл или папку. Восстановление данных в этом случае достаточно непредсказуемо — если данные удалены с жесткого диска, и после удаления работа с ним не велась, то шансы на восстановление достаточно велики. Если данные удалены с телефона или SSD, шансы на восстановление обратно пропорциональны времени использования устройства после удаления файла.

Стоимость работ по восстановлению удаленных данных складывается из следующих моментов:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск удаленных файлов.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Средний ценник на восстановление удаленных файлов с жесткого диска в настоящее время составляет 1000 сом, с телефона 3000 сом.

Шифрование данных

Данные могут быть зашифрованы как вирусом-шифровальщиком, так и самим пользователем (BitLocker, FileVault, EFS и пр.). В первом случае вирус сам сообщает о том, что данные зашифрованы, и начинает вымогать вознаграждение за расшифровку. Во втором случае проблемы обычно возникают в трех случаях:

  1. Возникновение на накопителе дефектных секторов, приводящих к проблемам с штатной расшифровкой.
  2. Переустановка системы без учета того, что данные были зашифрованы (при этом теряются ключи шифрования).
  3. Утеря информации о ключах или паролях (забыли, потеряли листок где это записано, и пр.).

Стоимость услуги восстановления данных в случае с их зашифровкой варьирует от 7000 до 10000 сом в случае если это шифрованная файловая система (BitLocker, FileVault, TrueCrypt и пр.); в случае, если данные зашифрованы вирусом, стоимость расшифровки может составлять до 25000 сом. Из чего складывается данная услуга:

  1. Создание посекторного клона накопителя, с которого производится восстановление данных (все операции мы производим с клоном для того, чтобы исключить любой риск повреждения исходных данных).
  2. Сканирование накопителя, поиск информации для восстановления (ключи шифрования, метаданные и пр.).
  3. Применение ключей шифрования, потоковая расшифровка данных на внешний диск-приемник.
  4. Анализ полученного результата, уточняющее сканирование накопителя, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления информации.
  6. Поиск алгоритмов шифрования в ручном режиме, если они не были обнаружены в автоматическом.
  7. Амортизация используемого для подключения диска в режиме «только чтение» оборудования.
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Высокая стоимость расшифровки данных в нестандартных случаях объясняется большим количеством ручной работы. Если дело касается стандартных случаев шифрования (BitLocker, FileVault), стоимость ниже, и зависит главным образом от того, насколько долго будет занят специализированный ПАК для извлечения данных.

Ошибки операционной системы

В некоторых случаях потеря данных может быть следствием некорректной работы операционной системы. Такие случаи достаточно редки, однако они все же встречаются. Наиболее распространенным типом ошибки при этом является работа штатной программы проверки диска checkdisk в ОС Windows.

Работа этой программы направлена на то, чтобы выявить и исправить ошибки файловой системы жесткого диска. При этом, если выявляются ошибки, связанные с дефектными секторами (например, повреждена часть записей в MFT), то данные, которые относятся к этим ошибкам, программа переносит (именно переносит, а не копирует) в особые папки, которые сама создает на диске. Чем это чревато? Во-первых, при больших объемах таких переносов может возникать перезапись данных. Во-вторых, программа не гарантирует, что будет произведен перенос всего файла.

Возможны и другие ошибки работы ОС, приводящие к утере доступа к данным — например, запись неверных данных в заголовок раздела или в файловые таблицы.

Работа с ошибками операционной системы тарифицируется также, как работа с удаленными данными, и составляет обычно 1000 сом. Что сюда входит:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Сканирование файловой системы и поиск ошибок ОС.
  3. Копирование найденных данных на внешний приемник.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Проблемы интерфейса

Встречаются крайне редко, являются наиболее сложно диагностируемыми логическими проблемами с наиболее сложными методами восстановления. Стоимость работ с такими заказами составляет от 5000 сом за 1 Тбайт емкости диска.

В чем проявляются такие неисправности? При неправильной установке коннектора data-кабеля (будь то SATA, SAS/SCSI или USB) нестабильный контакт приводит к искажениям записи информации, имеющим определенный повторяемый характер. Например, одна из линий данных может вместо байтов 00h записывать FFh. При этом файл будет записан на устройство, но при его работе будут возникать ошибки: он либо не будет запускаться вообще, либо после запуска его содержимое будет искажено или повреждено.

Для восстановления поврежденных таким образом данных потребуется сделать следующее:

  • Обнаружить все сектора, в которых имеются поврежденные или модифицированные данные;
  • Настроить скрипт-машину таким образом, чтобы произвести пакетное потоковое исправление ошибок;
  • Проконтролировать результат.

Таким образом, в стоимость работ указанного типа заложены следующие моменты:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Создание посекторной копии накопителя.
  3. Определение алгоритма повреждения данных.
  4. Настройка скрипт-машины на потоковое пакетное исправление повреждений.
  5. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  6. Амортизация ПО, используемого для восстановления удаленных файлов.
  7. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  8. Накладные расходы (электроэнергия, аренда и т.п.).
  9. Заложенная прибыль.

Преднамеренное или непреднамеренное изменение структуры данных

Встречается еще реже, чем предыдущий тип логических неисправностей. Суть проблемы заключается в том, что в определенном файле часть данных замещается другими, не имеющими отношения к этому файлу. Как правило, это происходит при сбоях операций переноса или копирования. Также, как правило, замещенные данные на целевом носителе имеются, но являются «потерянными».

Работы в этом случае заключаются в поиске утерянных фрагментов данных и «посадке» их на место. Задача эта весьма нетривиальна, так как требует глубокого знания форматов файлов, с которыми производятся работы, а также, обычно, кропотливого поиска утерянных фрагментов данных в ручном режиме. Проблема в том, что обычно RAW-данные в фрагментированном виде не имеют уникальных структур, позволяющих их обнаруживать автоматически (таких, как заголовки), поэтому их поиск возможен только вручную.

Стоимость работ по восстановлению работоспособности единичного файла составляет от 500 до 10 000 сом и зависит от его типа, размера и характера повреждений. В эти работы закладываются:

  1. Безопасное подключение и подготовка носителя к извлечению данных.
  2. Определение алгоритма повреждения данных.
  3. Поиск фрагментов утерянных данных.
  4. Анализ полученного результата, уточняющее сканирование, если результат неудовлетворительный.
  5. Амортизация ПО, используемого для восстановления удаленных файлов.
  6. Амортизация оборудования, используемого для подключения накопителя в режиме «только чтение».
  7. Накладные расходы (электроэнергия, аренда и т.п.).
  8. Заложенная прибыль.

Заключение

Как видите, стоимость восстановления информации даже в относительно «легких» случаях логических проблем складывается из массы моментов, однако основными являются оборудование и ПО. И то, и другое имеет приличную стоимость; например, комплект оборудования компании ACE Lab для восстановления данных с жестких дисков (ПАК РС-3000) имеет стоимость 1500 долларов США в минимальной комплектации. Как профессиональный сервис, мы используем десятки наименований различного оборудования, имеющего аналогичную стоимость.

В следующей части этой статьи мы расскажем о том, из чего складывается стоимость работ при восстановлении информации с накопителей с проблемами в служебной зоне.

Внимание! Фишинг под прикрытием федеральных выплат

Как только Президент РФ Владимир Путин объявил о том, что в связи с коронавирусом из бюджета России будут совершены выплаты на несовершеннолетних детей — единовременно по 10 000 рублей на ребенка — тут же активизировались разного рода цифровые мошенники. На почтовые ящики пользователей начали приходить письма идентичного или очень похожего содержания: для получения компенсации требуется пройти некую процедуру регистрации на сайте.

Пример фишингового письма
Адрес сайта, где нужно «пройти регистрацию».

На скриншотах выше только один такой сайт; их было 5 разных за три дня активной «бомбежки» нашего специального почтового ящика для спама (некоторое время назад мы зарегистрировали специальный электронный ящик на mail.ru, который постоянно «засвечивается» в Интернете, и на котороый по этой причине приходят тонны спама, фишинга и пр.; это нужно нам для того, чтобы отслеживать тренды, в которых в настоящий момент работает мысль злоумышленников).

Переход на эти сайты чреват серьезными проблемами (именно поэтому название сайта я заблюрил). Проверка на виртуальной машине показала, что два из пяти сайтов загружают на ваш компьютер вредоносное ПО (вирус), начинающее зашифровывать ваши данные с целью в дальнейшем вымогать средства за их расшифровку. На трех из пяти сайтов вас попросят пройти регистрацию, одним из пунктов которой будет указание реквизитов вашей банковской карты (кардерство — воровство данных банковских карт для последующего снятия с них денег).

Не ведитесь на подобное завлекалово, помните, что получить федеральные выплаты можно только через сайт Госуслуги.

*Настоящее сообщение адресовано прежде всего жителям России, Кыргызстана и Казахстана, среди которых достаточно много людей с двойным (Россия — страна рождения) гражданством, на коорых и направлена эта атака.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries