К нам обратился клиент по восстановлению данных, диск не видится на компьютере, а данные нужны. Обычная история.
пациент ничего удивительного из себя не представляет. Диагностика тоже не заняла много времени, проблемы с транслятором. Пересобираем транслятор и выводим данные. И тут начинается самое интересное..
Диск имеет нормальную структуру, папки осмысленные названия, с файлами тоже всё хорошо, всё на месте НО!! Большинство файлов в директориях которые заказчик обозначил как "нужные" не открываются. Как так?
Первое что приходит на ум это ошибка при сборе транслятора, например "сдвиг" в каком то месте из-за не читаемого сектора, а таких было достаточно, диск то старый. Смотрим, и находим файлы которые расположены "дальше" в трансляции чем те что не открываются.
Включаем режим "шерлок холмс" ;))) Первое что замечаем, файлы не открываются только в пользовательских директориях и директориях созданных пользователями в корне с русскими названиями. Второе не открываются только файлы Microsoft Office, картинки jpg и pdf. При этом например файлы odt от либре офиса открываются, так же как и архивы. Значит тут поработал не совсем обычный шифратор, если это был он. Смотрим дальше. Ещё одна примечательная особенность, офисные файлы ВСЕ имеют одну дату изменения 2013 год, а картинки тоже одинаковую, но 2012 год. Так же было обнаружено что файлы "старее" определённой даты и лежащие в "корзине" не подверглись вмешательству. Ну это уже совсем не похоже на вирус шифровальщик. Очевидно что "злоумышленник" действовал в два приёма и переводил дату на компьютере назад, видимо чтобы скрыть истинную дату вмешательства. Вряд ли он делал это удалённо, скорее он получал доступ к компьютеру, запускал некий софт(возможно самописный) и тот работал какое-то время, а потом повторил это ещё раз. Вирусы шифровальщики работающие удалённо не настолько разборчивы к типам файлов, датам и прочему. К тому же как правило злоумышленники по удалёнке используют встроенные средства Windows, а они не умеют выборочно шифровать по датам, расширениям и так далее. EFS может конечно зашифровать отдельный файл на который ткнёт пользователь, но он потом видится любой windows как шифрованный.
Я думаю мы своё дело сделали, данные извлечены из неисправного носителя. А со злоумышленниками пусть разбираются органы, если у них хватит компетенции. Кстати мы тут шутим что это "дембельский аккорд" от недовольного выпускника, учитывая время когда это случилось. Умелец вполне достоин баллов 90 за ЕГЭ по информатике ;)))