RAID-5: ЭКСТРЕННО ВОССТАНОВИТЬ ДАННЫЕ С ДИСКОВОГО МАССИВА

Задача. Экстренно восстановить данные с дискового массива RAID-5

Описание проблемы. Массив поступил в виде дисков (не в составе сервера), без какой-либо нумерации или пометок. Массив вышел из строя в результате аварийного отключения питания. Тип интерфейса: SAS.

Результаты диагностики Диагностировано, что все диски массива исправны. Скорее всего, неисправен контроллер массива, но он не был нам предоставлен. Принято решение собирать массив программными средствами.

Необходимые для восстановления информации процедуры.

1) Определение конфигурации массива.

2) Сборка массива.

3) Извлечение пользовательских данных.

Результат.

Данные восстановлены полностью.

Особенности массива.

Поскольку данные с данного массива требуются экстра-срочно, сами диски исправны, заказчиком было принято решение для экономии времени не производить процедуру обязательного создания резервных копий дисков. Работы велись на дисках заказчика, подключенных к системе в режиме «read only».

Самые интересные факты из области индустрии хранения информации и восстановления данных

А что можно сказать про самые-самые устройства для хранения данных, самые-самые случаи восстановления данных, самые-самые интересные факты из этой области? Эта подборка – для вас.

Самый маленький жесткий диск. Диск форм-фактора 0.85 дюйма. Диски этого размера начали массово продаваться в 2007 г. корпорацией Toshiba. Исходя из размеров, основным сегментом, куда планировалось применять эти диски, были мобильные устройства – и действительно, их ставили даже в мобильные телефоны (например, Nokia N91). Со временем NAND-память стала сильно дешеветь, и рентабельность производства таких устройств упала. В настоящее время эти диски иногда поступают на восстановление данных, главным образом из профессиональных видеокамер.


На фото — накопитель форм-фактора 0,85 дюйма

Самый емкий носитель информации. В 2016 г. компания Amazon представила диск на колесах. Емкость устройства составила на то время рекордные 100 петабайт; в настоящее время емкость увеличена еще на 25%. Устройство представляет собой фургон размером с морской контейнер, который установлен на шасси мощного тягача. Этот диск на колесах был назван компанией Amazon Snowmobile за белоснежный цвет гаджета на колесах. Для чего потребовалось создание такого устройства? С увеличением объема данных их передача становится слабым местом всей системы. Даже при гигабитной сети передача одного петабайта данных займет не менее 20 лет. Snowmobile перевезет тот же объем информации за 2 месяца. Это достигается очень просто: скорости локальных сетей гораздо выше, чем скорость интернет-соединения, и снежная машина, подключившись к локальной сети компьютера, с которго требуется забрать данные, выкачивает их на максимальной возможность скорости до 100 Гигабит/с; на стороне сервера соединение еще быстрее, поэтому передача данных на результирующий сервер обычно занимает меньше времени.


На фото – жесткий диск на колесах от компании Amazon; фото взято с сайта Amazon.

Самый первый жесткий диск. Он же и самый тяжелый. Он же самый большой. Это диск IBM 350, представленный 4 сентября 1956 г. Это был громадный шкаф, шириной 1.5 м, высотой 1.7 м и длиной 74 см. Вес устройства составлял почти тонну. Внутри устройства находилось 50 «блинов» диаметром 61 см. Несущим данные слоем была специальная краска, содержавшая мелкодисперсные частицы ферромагнитных элементов. Объем диска составлял 3.75 Мбайт.


На фото – жесткий диск IBM 350 в музее

Самый первый жесткий диск форм-фактора 3,5 дюйма был выпущен корпорацией Seagate, его объем равнялся 5 Мбайт, а стоимость составляла около 1500 долларов США. Именно этот диск стал эталоном при создании компьютеров архитектуры IBM AT и IBM XT, а также при составлении первых стандартов передачи данных, принятых основными игроками на рынке IT в то время. ST-506 (именно так назывался тот жесткий диск), без преувеличений, является самым-самым важным устройством в череде продуктов этой компании и всей индустрии, так как позволил ее стандартизировать.


На фото – один из первых жестких дисков форм-фактора 3.5 дюйма

Самый первый жесткий диск для ноутбука (форм-фактор 2,5 дюйма) был выпущен также компанией Seagate, произошло это в 1991 г., а объем такого накопителя составлял 40 Мбайт.


На фото – один из первых накопителей для ноутбуков от компании Seagate. Фото предоставлено Д. Шмыглевым (Симферополь, Крым)

Самые известные жесткие диски Barracuda производства компании Seagate ведут свою историю с 1992 года, когда был выпущен первый диск под этим брендом. Существенным отличием нового диска была скорость вращения его шпинделя – это был самый-самый первый жесткий диск со скоростью вращения шпинделя 7200 оборотов в минуту. Емкость первых накопителей Seagate Barracuda 2LP составляла 1 и 2 Гбайт: это был самый-самый первый жесткий диск, перешагнувший предел в 1 Гбайт.


На фото – жесткий диск Seagate Barracuda третьего поколения

Самые оборотистые жесткие диски были разработаны компаниями Seagate (накопители Seagate Cheetah со скоростью вращения шпинделя вначале 10 000 оборотов в минуту, а затем и 15 000) и Western Digital (накопители Raptor со скоростью вращения шпинделя 15 000 оборотов в минуту). Первые изготавливались с интерфейсом SCSI, а затем и SAS, вторые – традиционный интерфейс SATA.


На фото – накопитель Seagate Cheetah со скоростью вращения шпинделя 15 000 оборотов в минуту

Самая первая флешка была создана израильской компанией M-Systems в 1999 году (апрель 1999 г. – официальная регистрация патента). В 2000 г. была выпущена первая серийная флешка емкостью 8 Мбайт, которая стоила 50 долларов США. Немного позже, к концу 2000 г., были выпущены флешки емкостью 16 и 32 Мбайт. Годом позже компания Mitsubishi приступила к выпуску первых карт памяти; карта Mitsubishi SRAM Card выпускалась в редакциях 1, 2 и 4 Мбайт и имела интерфейс PCMCI.


На фото – карта памяти Mitsubishi SRAM емкостью 1 Мбайт

Самый дорогой жесткий диск для персонального компьютера стоил 4999 долларов США, это был диск емкостью 18 Мбайт производства компании North Star Horizon. Только подумайте – 1 мегабайт дискового пространства стоил когда-то около 280 долларов США! За такие деньги сейчас вы можете приобрести жесткий диск объемом 14 Тбайт.


На фото – выдержка из рекламного постера компьютерных систем North Star Horizon, с ценой на новый на то время диск емкостью 18 Мбайт

Самое известное восстановление данных. В 2008 году американским специалистом по восстановлению данных Джоном Эдвардсом, работающим в компании Kroll Ontrack, были восстановлены примерно 80% данных с накопителя Seagate емкостью 400 Мбайт, пострадавшего в результате крушения шаттла Columbia. Работа по восстановлению данных с обугленного и сильно пострадавшего при падении с высоты в 63 километра жесткого диска заняла около 5 лет; стоимость этой работы не разглашается, однако, исходя из того, в каком состоянии находились пластины диска (диск был сильно оплавлен, а пластины сплавлены вместе и представляли собой почти монолитную структуру), можно предположить огромный объем научных исследований, направленных не только на безопасное разделение потоков данных на разных сторонах пластин, но также и на возврат намагниченности пластин, так как при взрыве шаттла накопитель подвергся воздействию температур в несколько тысяч градусов и неизбежно прошел точку Кюри, а стоимость комплекса таких исследований с последующей реализацией их в виде технологии восстановления данных можно оценить в несколько десятков миллионов долларов США. Все это позволяет заключить, что для некоторых компаний по восстановлению данных в настоящее время перегрев диска и его температурное размагничивание не являются препятствием для восстановления информации.


Снимок экрана с сайта Ontrack Kroll с рассказом о том, как восстанавливались данные из жесткого диска с шаттла Columbia

Самый удачный жесткий диск и самый неудачный жесткий диск в истории индустрии по производству HDD по роковому стечению обстоятельств – одно и то же устройство. Это диск форм-фактора 3.5 дюйма компании Fujitsu, выпускавшийся под названием Fujitsu MPG. Диски этого семейства имели емкость 10, 20, 30 и 40 Гбайт (от 1 до 4 головок, максимально 2 пластины) и обладали фантастическим качеством механики. Довольно часто при таком объеме эти диски не содержали дефектов в заводском дефект-листе (Р-лист), а значит, их поверхности были абсолютно идеальными. То же самое можно сказать и о их головках и системе позиционирования. Использованная технология адаптивных параметров подстройки головки под трек с отклонениями от абсолютного круга (RRO – Repirable Run Out) делала работу системы позиционирования исключительно точной и абсолютно надежной. К сожалению, при изготовлении этих дисков была совершена роковая ошибка – в их основной микросхеме (микроконтроллер) был использован фосфор-содержащий компаунд, который накапливал воду из окружающего воздуха, и в один «прекрасный» момент диск переставал определяться в системе. Прогрев основной микросхемы часто приводил диск в работоспособное состояние, но на очень непродолжительное время. Количество отказов этих дисков носило столь массовый характер, что корпорация Fujitsu отозвала с рынка все проданные устройства, а подразделение, выпускавшее трехдюймовые жесткие диски, было закрыто и не функционирует до сих пор. Ходили неподтвержденные слухи, что управляющий директор этого подразделения сделал харакири, но они не были официально подтверждены.


На фото – легендарный накопитель Fujitsu MPG

Самое курьезное восстановление данных в моей практике случилось совсем недавно, месяца два назад. На восстановление информации прибыл жесткий диск для ноутбука Western Digital емкостью 500 Гбайт. В качестве донора был предложен такой же диск, но емкостью 250 Гбайт. Клиент настаивал на том, что ему где-то кто-то определил, что у диска неисправна головка номер 1, то есть вторая снизу, а остальные головки исправны. Поэтому заем тратить на донора на 10 баксов больше, если у этого диска в 250 Гбайт имеется две головки, и как раз – 0 и 1. Определенная доля истины в словах заказчика имелась, да и диагноз оказался правильным, поэтому я отчитал больной диск по трем исправным головкам, затем «уронил» его в сон, сделал замену головок из донора (только 2 головки из 4), стартанул «уснувшую» плату и, не без танцев с бубном, считал последнюю поверхность. Столь прошаренного и экономного клиента я встретил в первый раз в своей жизни =).


На фото – рутинная работа по восстановлению информации – клонирование неисправного накопителя

Самый наглый обман с емкостью накопителей до сих пор демонстрируют почти все производители этих устройств. Для расчета емкости они используют значение 1000 Мбайт на 1 Гбайт, хотя на самом деле в гигабайте 1024 Мбайта. Это приводит к тому, что емкость устройства, которое вы покупаете, сильно отличается от заявленной. Скажем, если на жестком диске написано 500 Гбайт, то по факту он будет отформатирован на 465 Гбайт. Увы, но ситуация не меняется десятилетиями: маркетологам намного проще делать громкие заявления об очередном прорыве емкости, оперируя тысячамегабайтным гигабайтом, чем реальным, 1024-мегабайтным.


На фото – накопитель Seagate Barracuda с заявленной емкостью 4 Тбайт, который форматируется системой на 3.6 Тбайт

Самый оптимальный режим работы жесткого диска. Корпорация Google в 2007 г. проанализировала работу около 100 000 жестких дисков в своих хранилищах и выяснила, что наименьшее количество отказов и наибольшую производительность обеспечивают диски, работающие при температуре около 40 градусов по Цельсию. Смещение температурного режима в направлении увеличении температуры заметно снижает эффективность работы дисков уже при превышении оптимального значения на 5 градусов; то же самое наблюдается и при уменьшении температуры, но уже на 10 градусов.


На фото – простое подключение дисков к компьютеру «гроздью», весьма далекое от оптимального

Самый странный закон Мура: объем жестких дисков на протяжении всей их истории ежегодно удваивается. В текущем году максимальный объем жестких дисков в сегменте настольных компьютеров в продаже составляет уже 14 Тбайт, а значит, что к концу 2019 г. в продаже должны появиться диски емкостью 28 Тбайт. И это вполне реальная перспектива, так как использование технологии двойного актуатора MACH.2 и разработанной корпорацией Toshiba технологии записи MAMR позволяет увеличить в первом случае количество работающих в диске пластин в 2 раза, а во втором случае – увеличить плотность записи минимум на 50%.


На фото – три поколения мобильных телефонов Apple iPhone с емкостью 8, 16 и 32 Гбайт

Самый большой разброс в объеме жесткого диска получается, если сравнить современный емкий накопитель (14 Тбайт) с первым в мире жестким диском (3.75 Мбайт). Разница между этими дисками составит 3 823 047 раз. При этом современный накопитель больше чем в тысячу раз легче первого и почти в 10 000 раз меньше его по размерам. Если же рассчитывать разницу между современными SSD серверного сегмента (100 Тбайт), то разница составит больше 27 000 000 раз! Таким образом, за почти 60 лет истории разработок и производства жестких дисков их объем был увеличен в миллионы раз, а размеры уменьшены в тысячи раз. Потрясающе, не правда ли?


На фото – монолитная флеш-карта емкостью 32 Гбайт. Для того, чтобы организовать такую емкость в 1956 г., с использованием первого жесткого диска IBM-350, потребовалось бы 8,5 млн. тонн первых жестких дисков

Самый первый стандарт в области передачи данных принадлежит компаниям Western Digital и Compaq. Этот стандарт носил название IDE (Integrated Drive Electronics) и был внедрен в 1986 г. До сих пор по названию этого стандарта жесткие диски с параллельным интерфейсом часто называют IDE-дисками.


На фото – жесткий диск с интерфейсом SCSI, одной из разновидностей IDE

Самый первый АТА-стандарт, т.е. стандарт передачи данных в его современном виде, появился в 1994 г. и носил название АТА-1. Разработка АТА-стандартов завершилась в 2002 г. с выпуском седьмой версии стандарта (АТА-7). С 2003 г. развивается стандарт SATA, накопители с интерфейсом PATA более не выпускаются. В настоящее время активно развивается стандарт SATA 3.2, позволяющий поднять производительность интерфейса до 16 Гбит/с.


На фото – жесткий диск Seagate с интерфейсом PATA (IDE).

Самый быстрый интерфейс накопителей данных на настоящий момент – интерфейс NMVe. Диски с этим интерфейсом работают на скорости PCI-Express шины, их производительность достигает сотен тысяч IOPS при пропускной способности несколько десятков Гбит/с.


Твердотельный накопитель Samsung с новейшим интерфейсом NMVe

Самый вредный миф о восстановлении данных заключается в том, что жесткий диск можно просто открыть, и ничего при этом не случится. На практике при открывании жесткого диска в условиях, далеких от необходимых (вне чистого бокса, без предварительной очистки корпуса и т.п.) в гермозону накопителя немедленно попадает огромное количество мусора, которое приводит к очень быстрому выходу диска из строя в случае его включения.


На фото – последствия самостоятельной разборки жесткого диска с его последующим включением

Самый широко распространенный интерфейс накопителей информации на текущий момент – интерфейс SATA. Более 60% всех устройств этого типа оснащены данным интерфейсом. Второй по распространению – интерфейс USB, им оснащено около 25% всех устройств данного типа. Интерфейсы других типов (SCSI, SAS, Fibrechannel, Thunderbolt и т.п.) составляют в современных устройствах хранения данных не более 15%.


На фото – жесткий диск с интерфейсом SATA

Станислав Корб, ©2018

WD ELEMENTS SE: ВОССТАНОВИТЬ ДАННЫЕ С ВНЕШНЕГО ЖЕСТКОГО ДИСКА

Задача. Восстановить данные с внешнего жесткого диска WD Elements SE

Описание проблемы. Накопитель поступил в работу с диагнозом «не определяется системой».

Результаты диагностики. Для диагностики из внешнего корпуса был извлечен находившийся внутри жесткий диск и исследован с использованием РС-3000. Выяснена стандартная для дисков Western Digital проблема заторможенной активности микропрограммы (slow responding).

Необходимые для восстановления информации процедуры.

1) Подбор и адаптация SATA-платы для накопителя.

2) Установка SATA-платы на неисправный диск.

3) Решение проблемы заторможенной активности микропрограммы.

4) Запуск накопителя в нормальном режиме.

5) Подготовка накопителя к вычитыванию данных.

6) Вычитываение данных.

7) Извлечение данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Проблемы купирования фоновых активностей микропрограммы начали возникать, когда в серию пошли диски с многозадачными операционными системами. Микропрограмма современного жесткого диска — это не просто набор инструкций и таблиц, это подобие операционной системы (например, у Seagate она так и называется — MOS (My Operatig System) или DOS (Disk Operating System)). Диск постоянно проводит какие-то операции в фоне: сбор и обновление SMART-статистики, дефектоскопию, управление обнаруженными нестабильными областями поверхности, и т.п. Проблемы возникают тогда, когда количество фоновых операций выходит за рамки выделенных под эту активность ресурсов. В этом случае диск вынужден ставить внешние операции, как наименее приоритетные, в режим ожидания, и заниматься только внутренними, более приоритетными, операциями. Нормальное чтение таких дисков возможно только после модификации микропрограммы — отключения фоновых процессов или их перевода в режим ожидания.

SAMSUNG 256GB MSATA SSD: ВОССТАНОВИТЬ ДАННЫЕ С ТВЕРДОТЕЛЬНОГО ДИСКА

Задача. Восстановить данные с твердотельного диска Samsung 256GB mSATA SSD

Описание проблемы. Накопитель поступил с проблемой «не определяется в системе».

Результаты диагностики. Для диагностики накопитель был исследован с помощью ПАК РС-3000 и специализированного переходника производства АСЕ Lab. Выяснено, что накопитель не выходит из состояния «занят». Причина: повреждение таблиц трансляции в силу сильного износа NAND-микросхем.

Необходимые для восстановления информации процедуры.

1) Перевод накопителя в Safe Mode. Загрузка в накопитель лоадера, инициализация накопителя.

2) Построение системы трансляции с помощью ПАК РС-3000.

3) Клонирование накопителя в технологическом режиме.

4) Извлечение данных из полученного образа.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Твердотельные накопители имеют характерные только для них виды неисправностей, одна из наиболее распространенных — «вечно занят». Данная проблема возникает тогда, когда NAND-микросхемы сильно изнашиваются, и системы коррекции ошибок накопителя перестают справляться с потоком ошибок. Обработка этого потока и «вешает» диск.

TOSHIBA MK6459GSX: ВОССТАНОВИТЬ ДАННЫЕ С ЖЕСТКОГО ДИСКА

Задача. Восстановить данные с жесткого диска Toshiba MK6459GSX

Описание проблемы. Накопитель поступил с проблемой «не определяется в системе».

Результаты диагностики. Для диагностики накопитель был исследован с помощью ПАК РС-3000. Выяснено, что накопитель не раскручивает шпиндельный двигатель, при этом плата электроники исправна. Тестирование ПЗУ показало порчу его части.

Необходимые для восстановления информации процедуры.

1) Отпаивание микросхемы ПЗУ от платы элктроники.

2) Исследование содержимого ПЗУ с помощью шестнадцатеричного редактора, поиск проблемных областей.

3) Ремонт содержимого ПЗУ в шестнадцатеричном редакторе.

4) Заливка полученного отремонтированного ПЗУ в микросхему, припаивание ее на плату электроники.

5) Запуск накопителя в нормальном режиме, копирование данных на результирующий диск.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Порча содержимого ПЗУ — редкая и сложно диагностируемая проблема жестких дисков. При этом диски могут вести себя по-разному: от полной «тишины» до стуков и других посторонних звуков из гермозоны при запуске диска. Очень асто проблемы ПЗУ неопытными специалистами диагностируются как проблемы платы электроники или блока магнитных головок, что приводит к неправильным процедурам «лечения» и даже к отрицательному результату восстановления данных.

Что бывает, если падает ваш жесткий диск? Обзор последствий и результатов падений, что можно делать после падения диска, а что — нельзя.

Почему нельзя ронять жесткий диск? Вроде бы современные накопители на жестких магнитных дисках анонсируются как ударостойкие, выдерживающие серьезные нагрузки, но… К сожалению, как бы ни старались производители увеличить ударостойкость дисков, в устройстве, где имеются две оси, большая масса крутящихся кусков стекла и пружинящие головки, удар всегда будет сопровождаться какими-нибудь деформациями, повреждениями или разрушениями.

В этом видео мы рассказываем и показываем, что бывает с жестким диском, если его уронить.

Предупреждаю, что повторение наших опытов может привести к выходу из строя вашего диска и, с большой долей вероятности, к потере данных с него. Поэтому настоятельно не рекомендую повторять наши опыты на устройствах, которые для вас ценны или содержат важные для вас данные.

Станислав Корб, © 2018

ST9500423AS: ВОССТАНОВИТЬ ДАННЫЕ С ЖЕСТКОГО ДИСКА

Задача. Восстановить данные с жесткого диска ST9500423AS

Описание проблемы. Накопитель поступил в работу со следами вскрытия. Владелец диска пытался самостоятельно заменить плату электроники и БМГ.

Результаты диагностики. Для диагностики накопитель был исследован в чистой зоне (ламинарный шкаф вертикальной тяги класса 100). Обнаружены пыль и грязь на поверхности. Для восстановления данных требуется очистка гермозоны и замена БМГ.

Необходимые для восстановления информации процедуры.

1) Подбор и адаптация донорского устройства.

2) Мероприятия по очистке гермоблока от пыли и грязи.

3) Замена блока магнитных головок.

4) Запуск накопителя в технологическом режиме.

5) Подготовка накопителя к вычитыванию данных.

6) Вычитываение накопителя в технологиеском режиме.

7) Извлечение данных из полученного образа.

Результат.

Данные восстановлены с минимальными потерями (менее 0.2%).

Особенности заказа.

Накопитель поступил в работу уже открытым в условиях, несовместимых с соблюдением необходимого класса чистоты. Очистка гермозоны проводилась в три этапа: механическая очистка продувкой сжатым газом; демонтаж пакета магнитных пластин и отмывка следов жира и грязи с верхней пластины; просушка пластины и доотмыв остатков грязи с пластины. Контроль за чистотой поверхностей осуществлялся с использованием микроскопа.

SEAGATE SKYHAWK ST4000VX000: ВОССТАНОВИТЬ ДАННЫЕ С ЖЕСТКОГО ДИСКА

Задача. Восстановить данные с жесткого диска Seagate SkyHawk ST4000VX000

Описание проблемы. Накопитель из видеорегистратора HikVision. Диск исправен; владелец случайно отформатировал диск в регистраторе. Требуется восстановить видеозаписи за определенный период.

Результаты диагностики. Для диагностики накопитель был исследован с помощью специализированного ПО. Искомые видеозаписи были обнаружены.

Необходимые для восстановления информации процедуры.

1) Сканирование накопителя с помощью ПО для восстановления данных с DVR.

2) Сортировка обнаруженных видеозаписей по дате создания.

3) Копирование нужных заказчику данных на накопитель-приемник.

Результат.

Данные восстановлены полностью.

Особенности заказа.

Стационарные видеорегистраторы имеют большое количество (до 20 только более-менее широко распространенных) форматов записи данных. Основная сложность восстановления информации с таких устройств — точное определение формата записи.

APPLE MACBOOK AIR: ВОССТАНОВИТЬ ДАННЫЕ С НОУТБУКА, ОТРЕМОНТИРОВАТЬ НОУТБУК

Задача. Восстановить данные с ноутбука MacBook Air, отремонтировать ноутбук

Описание проблемы.В работу поступил MacBook Air. Система не загружается, после долгого повисания появляется белый экран смерти.

Результаты диагностики.Из ноутбука извлечен накопитель (SSD), произведена его диагностика средствами ПАК РС-3000. Выяснено, что SSD имеет огромное количество дефектных секторов.

Необходимые для восстановления информации процедуры.

1) Подготовка SSD к вычитыванию в режиме интеллектуальной обработки дефектных секторов.

2) Вычитывание SSD в образы в многопроходном режиме.

3) Развертывание образов на физически исправный SSD такого же типа и объема.

4) Установка подготовленного физического клона исходного SSD в ноутбук.

5) Запуск ноутбука с подготовленного клона, исправление ошибок, ремонт операционной системы.

Результат.

Данные восстановлены полностью, ноутбук приведен в рабочее состояние.

Особенности заказа.

В ноутбуках Apple используются твердотельные диски с проприетарным коннектором, что делает их подключение к стандартным средствам диагностики и ремонта невозможным без специальных адаптеров. SSD, исползуемые в ноутбуках Apple, как правило, выходят из строя резко, без предупреждения; в нашем случае заказчику повезло, так как стандартная болезнь этих SSD — переход в заблокированное состояние с невозможностью разблокировки. У нашего же заказчика были обычные дефектные сектора, твердотельный диск при этом работал. Нам удалось вычитать его почти полностью, используя различные механизмы чтения; не вычитанными оказалось около 240 секторов, которые легли на системные файлы. Замена этих файлов полностью реанимировала ноутбук.

Майнеры. Кто-то зарабатывает деньги, а вы платите за электричество.

Вместо предисловия

О шифровальщиках и троянских конях мы недавно поговорили, время поговорить о еще одном довольно широко распространенном компьютерном зле – майнерах криптовалют.

Когда криптовалюты только появились, не так уж и много народа верило в эту затею. Однако когда биткоин начал бить рекорды по обменному курсу, в майнинг ударилась масса людей. Кто-то ставил на ночь свои игровые компьютеры «майнить биток», кто-то собирал специальный компьютер для майнинга, кто-то покупал асики (специальные устройства, которые ничего, кроме майнинга, не делают). Были (и остаются) умники, которые настраивали майнинг на работе – новости о таких господах время от времени мелькают и по телевизору, и в Интернете.

Однако все это, несмотря на то, что направлено непосредственно на «добычу» криптовалют, не слишком выгодно: майнинг идет с весьма серьезными нагрузками на компьютер, который при этом пожирает массу электроэнергии. А за электричество, конечно же, надо платить. В итоге «выхлоп» от легального занятия майнингом ненамного превышает счет за электроэнергию – а ведь надо еще поддерживать в нормальном состоянии компьютер, который добывает вам цифровые деньги, ремонтировать выходящие из строя узлы (а при активном использовании износ идет быстрый и жесткий). Да уж…

Наиболее «светлые» головы вирусописательства подумали и решили: а зачем майнить самостоятельно? Зачем платить за электричество самому? Можно ведь написать модуль, который будет заражать чужой компьютер и занимать его вычислительные мощности в пользу написавшего. А счета за электричество будут приходить хозяину зараженного компьютера. Так и родилась идея вируса-майнера.

«Дроппер» от слова «drop»

Естественно, сам по себе майнер на вашем компьютере не установится – его надо скачать, установить, запустить, замаскировать под что-то безобидное, настроить – в общем, масса разных акций для того, чтобы он работал и не вызывал подозрений. И как, скажете вы, всего этого добиться?

Довольно просто. Заставить вас запустить приложение, которое «доставит» на ваш компьютер вирус-майнер, установит его, настроит, внесет в исключения вашего антивируса и т.п. И не просто заставить вас его запустить (этого мало), но запустить его с правами администратора. Только запущенное с правами администратора приложение способно внести на ваш жесткий диск все изменения, которые нужны злоумышленнику.

Распространять такой вирус через вложения в электронной почте или фишинговые ссылки неэффективно – никто же не будет запускать какое-то левое приложение с правами админа, так? И как же быть? Да просто. Прятать вирус в каком-то приложении, которое вы в любом случае запустите с правами администратора. Как правило, такие приложения – разные кейгены и кряки, а кроме них – дистрибутивы некоторых других приложений. Такие приложения называются «дропперы», от английского drop – «сбросить». Единственная функция дроппера – доставить на ваш компьютер установщик майнера и набор скриптов для его настройки. Как только вы запускаете такое приложение с правами администратора, тут же начинается бешеная активность вашего трафика, активно устанавливаются и выполняются какие-то модули, пишутся многочисленные ключи в реестр. В результате вы становитесь счастливым обладателем вируса-майнера. Поздравляю =).

Помните главное правило компьютерного пирата: кейгенам и крякам (кроме, пожалуй, только патчеров) не нужны права администратора. Если генератор ключей требует запуска с правами администратора, значит он собирается менять содержимое вашего диска. Подумайте – а оно вам надо? А может там не майнер будет, а шифровальщик? В систему-то вы файл этот уже пустили, антивирусы он уже обошел – и теперь заражение вашего компьютера зависит только от вас, и больше ни от кого.

Как работает майнер?

Многие мирно сосуществуют с вирусами этого типа годами. Кто-то и вообще их не замечает (железо мощное, что там в фоне компьютер делает, пользователь не обращает внимания). Но основная причина долгой жизни майнеров на компьютерах пользователей – относительная незаметность их работы. Они созданы таким образом, что все ресурсы системы не занимают, т.е. пользователь вполне себе комфортно работает на своей машине, а майнер «отъедает» ровно столько процессорной мощности и оперативной памяти, сколько нужно для того, чтобы его работа не была заметной. Доходит до того, что майнер может на время отключиться, если пользователь запускает ресурсоемкое приложение – компьютерную игру, Adobe Photoshop с аппаратной акселерацией работы с графикой (технология CUDA), 3D-редактор и т.п.

Майнер всегда запускается вместе с системой – иначе он просто не будет работать, ведь не будете же вы специально запускать эту программу. То есть он должен присутствовать в автозагрузке приложений или служб – как правило, в последнем, так как этот тип автозагрузки сложнее мониторить и намного сложнее принимать решение об отключении автозагрузки службы, чем приложения. По сути, из автозагрузки приложений можно выключить абсолютно все без вреда для системы, а вот если «погасить» загрузку какой-то службы, можно потерять и саму систему.

После того, как майнер загрузился в память, он начинает делать то, для чего создан – использовать ваши вычислительные мощности для генерации криптовалюты. С какой интенсивностью он будет это делать – зависит от настроек, но обычно обнаруживать себя он не дает.

Важно сказать о бот-сетях. Раньше мы уже о них говорили (когда обсуждали троянские вирусы). Майнеры также могут объединяться в бот-сети для более эффективного майнинга криптовалют; некоторые бот-сети достигают размеров нескольких тысяч машин.

И как же его обнаружить?

Не так-то просто обнаружить майнер =). Тем более, что антивирусы не определяют майнеры как вирусы, так как это по сути не вредоносные программы (мало ли, может вы сами майните), хотя при сканировании системы вполне могут выдать отчет о том, что обнаружены подозрительные программы, которые что-то там майнят.

Дропперы легко определяются антивирусами, но, как правило, пользователь относится к предупреждениям антивируса при установке взломанного ПО недоверчиво: мол, это специально в антивирусы встроено, чтобы с пиратским софтом бороться. На самом деле антивирусу все равно, кейген он сканирует или образ «официального» дистрибутива MS Windows: если там есть вирус или подозрительная программа, он просигналит.

Если же вы установили такую программу, это автоматически означает, что вы допустили в свою систему вирус. Майнер это, троян или что-то еще – выяснить можно только, запустив полное сканирование авнтивирусной программой.

Вообще, я рекомендую регулярное антивирусное сканирование – просто для того, чтобы знать, какие программные фантомы прописываются в вашей системе. Активность многих программ в настоящее время очень просто скрыть, а сюрпризы в виде увеличившегося счета за электричество обычно никто не связывает с работой компьютера. После того, как антивирус отсканирует компьютер, вы получите отчет, в котором, кроме однозначных угроз, хороший антивирус перечислит и программы подозрительные – в их число обычно включаются и майнеры. Если вы сами майнингом криптовалют не занимаетесь – значит, кто-то наживается за ваш счет, и пришло время обломать его нетрудовые доходы. Удаляйте без сожаления все то, что вы не ставили, не давайте злоумышленникам шансов заработать на вашей доверчивости.

И здоровья вашей системе, программного и аппаратного.

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries