Laptop-PC bleibt beim Start hängen, formatiert, Daten sind nicht mehr wiederherstellbar, sieht verschlüsselt aus

761
GabrielB

Jemand bat mich, Daten von einem Laptop-Computer (Sony Vaio) nach einer Formatierung und einer Windows-Neuinstallation (Windows 8) wiederherzustellen.

Zuvor hatte der Computer eine Fehlfunktion: Beim Start blieb der Computer auf dem Anmeldebildschirm hängen und erreichte den Desktop selbst nach einem ganzen Tag nicht. Der Besitzer bat ihren Vater, das Problem zu beheben, was er mit Hilfe des Factory Restore-Verfahrens tat, da der Computer völlig nicht reagierte. Sie hatte ihm nicht erzählt, dass sie persönliche Dateien hatte, die nicht gesichert waren.

Normalerweise können in einem solchen Fall die meisten der früheren Daten immer noch abgerufen werden. Ich habe die gesamte Festplatte mit R-Studio und dann mit Photorec gescannt, aber beide seriösen Datenwiederherstellungssoftware haben absolut nichts gefunden außer der aktuellen Windows-Installation und den zugehörigen Softwares, keine Spur der persönlichen Bilder, die sie beispielsweise darauf gespeichert hatte Es wurden nur Bilder gefunden, die auf Lagerbilder von Windows oder den installierten Softwares stehen.

Dann öffnete ich das Laufwerk mit WinHex, um zu sehen, ob es durch ein Low-Level-Format vollständig gelöscht worden war. Als zweite Überraschung war die Hauptpartition jedoch nicht leer und schien mit scheinbar zufälligen Daten gefüllt zu sein. (So zufällig in der Tat, dass es nicht komprimierbaren überhaupt: Zum Test habe ich drei 1048576 Bytes (1MB) extrahiert, sie mit WinRAR und 7Zip komprimiert, die resultierenden komprimierten Dateien hatten, abhängig vom verwendeten Kompressor, genau die gleiche Größe und etwas größer als die Quelle, 1048844 für die 7Z Dateien, 1048816 für die RAR-Dateien - während selbst JPEG- oder MP3-Dateien zum Beispiel leicht komprimiert werden können (durchschnittlich 1-2%), obwohl sie bereits stark komprimiert sind.) Es gibt mehr als 400 GB davon, es gibt keinen einzigen Sektor in “ Freier Speicherplatz “, der leer erscheint oder mit einem erkennbaren Muster, das ist wirklich rätselhaft.

Was kann es also sein? Eine Art Laufwerksverschlüsselung? Eine Art Virus, vielleicht ein Ransomware-Angriff? Der Besitzer verwendet Computer auf einer grundlegenden Ebene und kann sich nicht daran erinnern, jemals eine Verschlüsselung eingerichtet zu haben. Konnte der Computer mit einem bereits aktivierten Verschlüsselungssystem verkauft werden? Könnte eine Sicherheitssoftware (ein McAfee-Produkt wird als Teil der Basisinstallation installiert) die Software implementiert haben, indem sie dem Benutzer eine unbestimmte Frage wie „Möchten Sie Ihre Dateien schützen“ und ein ahnungsloses „Ja“ auslösen? Wenn es sich um einen Ransomware-Angriff handelte, wäre am Ende des Verschlüsselungsvorgangs irgendwann ein "gotcha!" - Bildschirm angezeigt worden, oder? Klingt das nach einem bekannten Problem? Stimmt das, was ich beobachte (ein kontinuierlicher Strom von vollständig zufälligen Daten), mit der normalen Verschlüsselung überein? Ransomware-Angriffe verschlüsseln einzelne Dateien, oder können einige von ihnen eine ganze Partition verschlüsseln? Gibt es einige Tests, die ich an diesem Punkt durchführen könnte, um festzustellen, ob es sich tatsächlich um eine Verschlüsselung handelt und welche Art davon? Gibt es eine Chance, sich an diesem Punkt etwas zu erholen?

Ich habe nach diesem seltsamen Problem auf HDDGuru gefragt, erhielt aber nicht viel nützliche Informationen :
http://forum.hddguru.com/viewtopic.php?f=1&t=36574
(Dieses spezielle Problem wird ab dem 9. September angesprochen Post, die früheren Beiträge sind nicht relevant - zunächst hatte ich Zweifel, dass das Laufwerk selbst fehlerhaft sein könnte, aber es ist vollkommen in Ordnung.)

Vielen Dank.

BEARBEITEN: Hier ist ein Screenshot von R-Studio, der das Partitionierungsschema eines vollständigen Images von der 500 GB-Festplatte dieses Computers zeigt. Laptop-PC bleibt beim Start hängen, formatiert, Daten sind nicht mehr wiederherstellbar, sieht verschlüsselt aus Es gibt also nur eine Benutzerpartition, die 438 GB-Partition. Die anderen sind reservierte System- oder Wiederherstellungspartitionen. Nur das 438 GB-Gerät ist voll mit scheinbar zufälligen oder verschlüsselten Daten. Die 301 MB- und 38 GB-Partitionen werden von WinHex nicht angezeigt.

Hier ist ein Screenshot von WinHex mit zufälligen Bytes anstelle von freiem Speicherplatz. Laptop-PC bleibt beim Start hängen, formatiert, Daten sind nicht mehr wiederherstellbar, sieht verschlüsselt aus

1
@DavidPostill Warten Sie, warum wurde es als "Duplikat" markiert? Die verknüpfte Frage enthält nur sehr allgemeine Richtlinien für verschiedene Szenarien der Datenwiederherstellung, nichts für diesen speziellen Fall relevant ... Bitte lesen Sie über den zweiten Absatz hinaus. GabrielB vor 6 Jahren 0
Wenn es sich nicht um ein Duplikat handelt, ist es zu breit. DavidPostill vor 6 Jahren 0
@ DavidPostill Was meinst du damit, zu breit? Ich habe eine Reihe spezifischer Fragen gestellt und einen Link zu einem Thread in einem anderen Forum hinzugefügt. Ich versuche zu diagnostizieren, was mit diesem Laufwerk schief gelaufen ist. Ich habe nicht mehr Informationen als das, was ich zur Verfügung gestellt habe. Was könnte möglicherweise eine ganze Partition verschlüsseln, die der Benutzer nicht kennt? Und gibt es eine Möglichkeit zu bestimmen, was diese mehr als 400 GB an zufälligen Daten sind, nachdem zu Beginn etwa 30 GB durch die Systemwiederherstellung überschrieben wurden? Nun, da es als "Duplikat" markiert ist (was * nicht * ist), wird sich niemand bemühen, das Problem zu untersuchen, danke ... GabrielB vor 6 Jahren 1
Ich habe es wieder geöffnet. Viel Glück mit deiner Frage. DavidPostill vor 6 Jahren 0

1 Antwort auf die Frage

0
SPRBRN

Welche Version von Windows 8 ist das? Bitlocker ist das Windows-Verschlüsselungssystem:

BitLocker ist für alle Benutzer verfügbar, die über einen Computer mit Windows Vista oder 7 Ultimate, Windows Vista oder 7 Enterprise, Windows 8.1 Pro, Windows 8.1 Enterprise oder Windows 10 Pro verfügen.

Sie benötigen also eine Pro-Version von Windows, und die meisten Benutzer haben eine Home-Version auf ihrem persönlichen Laptop. Enterprise ist für große Unternehmen.

Es gibt verschiedene Alternativen zu Bitlocker, aber ich kenne keine, die ein gesamtes Laufwerk einschließlich der Windows-Systemdateien verschlüsseln kann. Sie schreiben, dass die Wiederherstellungssoftware nur Windows-Systemdateien gefunden hat. Meinen Sie die Systemdateien der neuen Installation oder finden Sie Systemdateien der alten Installation? Dies ist eine wichtige Unterscheidung. Wenn alte Dateien gefunden wurden, wurden möglicherweise nur die Benutzerordner verschlüsselt. Und dann gibt es mehrere Alternativen zu Bitlocker.

Ransomware ist eine mögliche Erklärung, aber ich halte es nicht für wahrscheinlich. Ich denke, sie verschlüsseln nur Dateien. Das ist viel einfacher, und das Ziel ist dasselbe. Das Verschlüsseln einer vollständigen Partition fügt ihrem Ziel nichts hinzu. Sie möchten Geld verdienen, also verschlüsseln sie Dateien und senden eine Nachricht an Sie. Nachdem Sie bezahlt haben, erhalten Sie einen Schlüssel zum Entschlüsseln. Sie wollen sich nicht mehr mit Ihrem System beschäftigen. Wenn sich herausstellt, dass Sie nach dem Bezahlen immer noch Probleme haben, hören die Leute möglicherweise auf zu zahlen, und das liegt nicht in ihrem besten Interesse.

Wenn die Daten wichtig sind, sollten Sie ein Bit für Bit-Image von der Festplatte erstellen, so wie sie ist, selbst jetzt, auch nach der Wiederherstellungsaktion, und dann auf dieser Festplatte arbeiten. Wenn sie einen Laptop benötigt, können Sie den Datenträger austauschen und Windows 8 oder 10 neu installieren.

Ich habe einmal Photorec benutzt. Auf diesem Laptop war Ubuntu installiert, und nachdem ich Windows neu formatiert und installiert hatte, konnte ich immer noch hunderte Bilder, Word-Dokumente und Tausende von Windows-Systemdateien finden.

Es sagt nur "Windows 8", kann eine bestimmte Edition außer "Version 6.2.9200" nicht finden. Modell ist SVF1521A6EW. Ja, ich meine die * aktuelle * Windows-Installation. Ich habe mit ddrescue sofort ein komplettes Image erstellt, bevor ein Wiederherstellungsversuch unternommen wurde (da ich Hardwareprobleme vermutete), aber ich weiß nicht, was ich sonst noch damit machen kann. Photorec hat nur etwa 25 GB an Dateien gefunden (von dieser 437 GB-Partition voller "etwas"). R-Studio hat keinen früheren Ordner gefunden (normalerweise selbst nach einer Formatierung / Neuinstallation gibt es viele Reste von MFT-Datensätzen, die analysiert werden können). GabrielB vor 6 Jahren 0

Verwandte Probleme