С момента (раз, два, три) публикаций о бесплатной свободно распространяемой многофункциональной утилите Easy Disk Checker вышел major update 5.* в котором по итогам голосования на "Хабре" появилась и развивается новая ветка “Восстановления данных”, где я, как практикующий с 2003 года дата-рекавери специалист, постарался реализовать функции которые могут помочь как обычным пользователям, так и мне, в ежедневной профессиональной деятельности.

Восстановление данных в Easy Disk Checker
Восстановление данных в Easy Disk Checker

Восстановление файлов

Здесь передо мной стояли две последовательные цели. Имея перед глазами такой флагман индустрии, как R-Studio надо было, во-первых, постараться сделать не хуже в части анализа и разбора файловых структур для поиска потерянных или удалённых данных, а во-вторых, получить опции, которых не хватало в существующих программах лично мне.

Режим восстановления файлов
Режим восстановления файлов

Итогом стала скромная кнопка “умное сохранение”, за которой прячется достаточно серьёзный алгоритм “on-the-fly” сортировки файлов, который должен сократить запросы в духе “ой, а я восстановил файлы, а они не открываются”, настолько часто встречающиеся что в своё время на нашем сайте пришлось писать отдельную статью на эту тему. Этот же эвристический анализ включается в режиме “Полный поиск + RAW”.

Smart save опция
Smart save опция

Ещё одна беда - часто незадачливые юзеры сохраняют результаты поиска файлов туда же, откуда их читают, получая на выходе повреждённую информацию и невозможность что-то исправить и переделать. Предупреждения никто не читает, поэтому в Easy Disk Checker не получится сохранить файлы на тот же раздел, с которого их пытаются восстановить.

Восстановление RAID

Придерживаясь общей “easy-style” концепции утилиты в ветке реализована “однокнопочная” сборка Raid массивов из дисков или образов. Программа определяет тип и формат массива по метаданным, производит виртуальную сборку и даёт возможность во встроенном “проводнике” посмотреть каталоги и файлы всех поддерживаемых утилитой файловых систем: FAT*, NTFS, Ext*, HFS/APFS, XFS и BtrFS.

Режим автоопределения RAID
Режим автоопределения RAID
Открытая структура виртуально собранного массива
Открытая структура виртуально собранного массива

Восстановление DVR/CCTV

Точно так же, как и raid, “одной кнопкой” можно открыть и посмотреть содержимое дисков или образов DVR/CCTV систем. Доступна опция поиска удалённых или недоступных записей, работает и для неудачно проинициализированных «виндой» дисков, которые перестали читаться в самом регистраторе после этого. Сейчас есть поддержка на базе предоставленных в личной переписке читателями “Хабра” образов дисков Hikvision (WFS 0.4) и LinuxDVR. Под рукой ничего другого на данный момент нет. Будет появляться - буду добавлять новое.

Автоопределение типа DVR
Автоопределение типа DVR
Список найденных видео-фрагментов
Список найденных видео-фрагментов

Анализ дисков поражённых вирусом-шифровальщиком

Эта ветка программы реализована для помощи в ответ на частые, к сожалению, обращения со стороны компаний, чьи сервера или рабочие станции были взломаны, а данные зашифрованы с целью получения выкупа.

Анализ поражённой шифровальщиком системы
Анализ поражённой шифровальщиком системы

Количество обращений с этой проблемой таково, что натурально оторопь берёт. И я не встречал, чтобы сервера были взломаны мега-хакерами. Все случаи, с которыми пришлось сталкиваться лично - результат халатности системных администраторов. Из последнего, наглядным примером будет фрагмент недавнего судебного решения, где наёмным админам в процессе переделки инфраструктуры было лень вводить сложные пароли:

Таким образом, истец указывает, что ИП ФИО1 9, 10 февраля 2024 года по собственной инициативе заменили пароли у пользователей в упрощённом виде “123456” на всех учётных записях и произвели назначение прав администратора всех учётных записей и, недоделав восстановительные работы, ушли на выходные «отдыхать». В результате чего произошел взлом базы данных и потеря более 80% информации предприятия. Суд соглашается с доводами истца и приходит к выводу, что заражение вирусом шифровальщика и зашифровка базы данных истца произошла в результате виновных действий ИП ФИО1

Налицо невысокая профессиональная культура, и не только в сфере IT безопасности. И это немудрено, учитывая вал “пятничных мемов” годами регулярно набирающих тонны лайков. Очевидно, работники в массе своей воспринимают рабочее время как тюремное заключение, а выходные как долгожданную кратковременную свободу. Результатом является часто распространённое наплевательское отношение к своей работе и её итогам.

С одной стороны понять можно - работники не горят энтузиазмом потому что отчуждены от результатов своего труда. Сколько бы руководство не пело мантры про “мы одна семья”, деление доходов где “родителю” вершки, а многочисленным “чадам и домочадцам” корешки рассказывает про такое семейство красноречивее любых тим-билдингов. С другой стороны, должна же быть какая-то “цеховая гордость” за свой труд и его результаты, не позволяющая делать тяп-ляп?

Возвращаясь к теме - исследование системного диска с которого было инициировано шифрование не гарантирует успеха, но может помочь вернуть файлы без оплаты выкупа. Сбор аналитических сведений ведётся по всем возможным зацепкам и недочётам работы шифровальщиков, которые были обнаружены в нашей многолетней практике. Обрабатываются как непосредственно системные и повреждённые файлы, так и применяется эвристический анализ на уровне “ниже файловой системы”. Формируемый в результате работы программы отчёт закрыт от просмотра парой pub+pem, чтобы не давать создателям вирусо-конструкторов подсказок, как избавить их вирусы от багов.

В заключение напоминаю, что скачать новую версию программы можно со страницы поддержки или установив из Microsoft Store и прошу делиться найденными в Easy Disk Checker ошибками для оперативного их исправления и пожеланиями улучшений для оперативного их внедрения.