Laptop PC preso na inicialização, formatado, agora dados irrecuperáveis, parece criptografado

1

Alguém me pediu para recuperar dados de um laptop (Sony Vaio), depois de um formato e reinstalar o Windows (Windows 8).

Antes disso, o computador estava com defeito: ele estava preso na inicialização, na tela de login, nunca chegou à área de trabalho, mesmo depois de um dia inteiro. O proprietário pediu a seu pai para consertá-lo, o que ele fez usando o procedimento de restauração de fábrica, uma vez que o computador não respondia completamente. Ela não disse a ele que tinha arquivos pessoais que não tinham backup.

Normalmente, em tal caso, a maioria dos dados antigos ainda pode ser recuperada. Examinei a unidade inteira com o R-Studio, depois o Photorec, mas os dois softwares de recuperação de dados confiáveis encontraram absolutamente nada além da instalação atual do Windows e dos softwares associados, nem um único traço das imagens pessoais que ela tinha armazenado por exemplo (as únicas imagens encontradas são imagens de arquivo do Windows ou dos softwares instalados).

Então eu abri o drive com o WinHex, para ver se havia sido completamente apagado por um formato de “baixo nível”: mas, segundo surpresa, a partição principal estava longe de vazia e apareceu cheia de dados aparentemente aleatórios. (Tão aleatório na verdade que não é compressível em tudo : como um teste, eu extraí três pedaços de 1048576 bytes (1MB), os compactei com WinRAR e 7Zip, os arquivos compactados resultantes tinham exatamente o mesmo tamanhos, dependendo do compressor usado, e um pouco maior que a fonte, 1048844 para os arquivos 7Z, 1048816 para os arquivos RAR - enquanto arquivos JPEG ou MP3, por exemplo, podem ser levemente comprimidos, em média 1-2%, apesar de serem já é altamente compactado.) Há mais de 400 GB, não há um único setor em "espaço livre" que pareça vazio, ou com qualquer padrão reconhecível, isso é realmente intrigante.

Então o que pode ser? Algum tipo de criptografia de unidade? Algum tipo de vírus, talvez um ataque de ransomware? O proprietário usa computadores em um nível básico e não se lembra de ter configurado uma criptografia de qualquer tipo. O computador poderia ter sido vendido com um sistema de criptografia já ativado? Um software de segurança (um produto da McAfee instalado como parte da instalação básica) pode ser implementado, fazendo ao usuário uma pergunta vaga como "você deseja proteger seus arquivos", provocando um "sim" sem noção? Se fosse um ataque de ransomware, uma tela "gotcha!" Teria aparecido em algum momento, no final do processo de criptografia, certo? Isso soa como um problema conhecido? É o que eu estou observando (um fluxo contínuo de dados completamente aleatórios) consistente com o que a criptografia normalmente se parece? Os ataques de ransomware criptografam arquivos individuais ou alguns deles podem criptografar uma partição inteira? Existem alguns testes que eu poderia fazer neste momento para determinar se isso é realmente uma criptografia e qual o tipo dela? Existe alguma chance de recuperar alguma coisa neste momento?

Eu perguntei sobre esse problema estranho no HDDGuru, mas não recebi muito em termos de insights úteis: link
(Essa questão em particular é abordada a partir do 9º post, os posts anteriores não são relevantes - no começo eu tinha dúvidas de que o drive em si pudesse ser defeituoso, mas está perfeitamente bem.)

Obrigado.

EDIT: Aqui está uma captura de tela do R-Studio mostrando o esquema de particionamento de uma imagem completa do disco rígido de 500GB do computador. Portanto,háapenasumapartiçãodeusuário,ade438GB;osoutrossãopartiçõesreservadasdosistemaouderecuperação.Apenasode438GBestácheiodedadosaparentementealeatóriosoucriptografados.Aspartiçõesde301MBe38GBnãosãoexibidaspeloWinHex.

AquiestáumacapturadeteladoWinHexmostrandobytesaleatóriosemvezdeespaçolivre.

    
por GabrielB 01.04.2018 / 04:37

1 resposta

0

Qual versão do Windows 8 é essa? Bitlocker é o sistema de criptografia do Windows:

BitLocker is available to anyone who has a machine running Windows Vista or 7 Ultimate, Windows Vista or 7 Enterprise, Windows 8.1 Pro, Windows 8.1 Enterprise, or Windows 10 Pro.

Então, você precisa de uma versão Pro do Windows e a maioria das pessoas tem uma versão inicial em seu laptop pessoal. Enterprise é para grandes empresas.

Existem várias alternativas ao bitlocker, mas não conheço nenhuma que possa criptografar uma unidade inteira, incluindo os arquivos de sistema do Windows. Você escreve que o software de recuperação não encontrou nada além de arquivos de sistema do Windows. Você quer dizer os arquivos de sistema da nova instalação ou encontra arquivos de sistema da instalação antiga? Esta é uma distinção importante. Se encontrou arquivos antigos, isso significa que talvez apenas as pastas do usuário foram criptografadas. E há várias alternativas ao Bitlocker.

O ransomware é uma explicação possível, mas não acho provável. Eu acho que eles só criptografam arquivos. Isso é muito mais fácil de fazer e o objetivo é o mesmo. Criptografar uma partição completa não adiciona nada ao seu objetivo. Eles querem ganhar dinheiro, então eles criptografam arquivos, depois enviam uma mensagem para você, e depois que você paga, você recebe uma chave para descriptografar. Eles não querem mexer com o seu sistema mais do que isso. Se souber que, depois de pagar, você ainda tem problemas, as pessoas podem parar de pagar, e isso não é de seu interesse.

Se os dados forem importantes, você deve criar uma imagem bit-a-bit do disco rígido como está, agora mesmo depois da ação de recuperação, e depois trabalhar nesse disco. Se ela precisar do laptop, você pode substituir o disco e fazer uma nova instalação do Windows 8 ou 10.

Eu usei o Photorec uma vez. Esse laptop tinha o Ubuntu instalado e, depois de reformatar e instalar o Windows, ainda consegui encontrar centenas de imagens, documentos do Word e milhares de arquivos de sistema do Windows.

    
por 02.04.2018 / 13:29