Atacuri informatice ransomware

In fiecare zi, infractorii cibernetici profita de utilizatorii neavizati sau de vulnerabilitatile sistemului de operare Windows pentru a bloca prin criptare accesul la datele importante, cu scopul de a obtine venituri, solicitand sume de bani pentru deblocarea accesului. Este si situatia recentului atac major al ransomware-ului WannaCry.

Nu vom discuta aici despre mijloacele tehnice prin care se produce efectiv atacul, ci vom spune cateva cuvinte despre efectele acestuia. Finalitatea este criptarea tuturor datelor importante urmata de solicitarea unei sume de bani, deloc neglijabila, pentru decriptarea acestora. Suma de bani se cere in moneda virtuala (de obicei Bitcoin), astfel incat sa nu se poata urmari traseul banilor de la victima pana la atacatori. In majoritatea cazurilor, plata rascumpararii este singura modalitate de a obtine accesul la date. Desigur, plata rascumpararii este absolut nerecomandata, iar in unele tari este si ilegala. De aceea, o buna protectie impreuna cu detinerea de copii de siguranta este cea mai eficienta solutie de evitare a unei astfel de situatii de criza.

Criptarea datelor se face folosind algoritmi cunoscuti, consacrati pentru protectia care o asigura, folosind chei de criptare din ce in ce mai mari. Matematic vorbind, toti acesti algoritmi sunt teoretic imposibil de „spart”, intr-un interval rezonabil de timp si fara o putere considerabila de calcul. Asadar, singura modalitate de a ataca/inlatura criptarea este atacarea implementarii algoritmului. Pentru variante si versiuni mai vechi de ransomware s-au descoperit bug-uri de implementare si acest lucru a permis gasirea de solutii pentru decriptarea datelor. Insa, pentru versiunile mai noi, cheile de criptare sunt stocate pe servere necunoscute din Internet, iar fara acestea decriptarea datelor si implicit accesul la ele este realmente imposibila.

Asadar, masurile care le puteti lua pentru a fi feriti de astfel de incidente este sa va asigurati ca aveti intotdeauna update-urile sistemului de operare instalate la zi, dar si sa folosti sisteme antivirus cu actualizarile facute. Nu in ultimul rand, nu uitati sa nu deschideti atasamentele email-urilor primite de la necunoscuti sau sa accesati link-uri dubioase.

Pentru intrebari si lamuriri suplimentare, echipa QUARTZ Data Recovery va sta oricand la dispozitie!

Despre Camera Alba (Clean Room)

In momentul in care va hotarati sa alegeti o companie cu ajutorul careia sa va recuperati datele pierdute, este important sa va asigurati ca aceasta detine si lucreaza intr-un laborator dotat cu Camera Alba (Clean Room). Dar ce este Camera Alba sau Clean Room-ul?

Camera Alba este un spatiu special amenajat, in interiorul caruia aerul este filtrat astfel incat sa nu contina particule de praf si/sau alte impuritati care pot afecta functionarea normala a unui hard disk. Utilizarea unei astfel de incaperi in vederea asigurarii conditiilor optime recuperarii datelor presupune respectarea unor norme si reguli mai speciale: tehnicienii trebuie sa poarte halate si incaltaminte speciala, capul trebuie sa fie in permananta acoperit pentru a nu se permite desprinderea firelor de par, usile se deschid decat atunci cand se face accesul, etc. Cu alte cuvinte, trebuie redusa la minim prezenta prafului si a factorilor care il pot genera. Aerul din interior este filtrat cu ajutorul unor sisteme HVAC (Heating, Ventilation and Air Conditioning) dotate cu filtre HEPA (High Efficiency Particulate Air) asigurand standardul de puritate si calitate al aerului necesar operarii cu hard disk-urile desfacute.

Rata de succes in recuperarea datelor este indiscutabil mai mare atunci cand se foloseste o asemenea camera deoarece sunt eliminati o serie de factori perturbatori ai intregului proces. Pentru a intelege rolul si importanta unei camera albe in procesul de recuperare trebuie explicate cateva aspecte privitoare la constructia hard disk-urilor. In interior, HDD-ul contine un ansamblu mecanic de foarte mare precizie care este alcatuit din capetele de citire/scriere puse in miscare de catre actuator dar si din platanele pe suprafata carora exista un strat magnetic necesar inregistrarii datelor, care sunt puse in miscare de un motor central (spindle motor). Actuatorul pune in miscare capetele de citire/scriere, pozitionand capetele deasupra informatiei dorite iar acestea o citesc sau o scriu in functie de comanda primita. Aceste capete niciodata nu trebuie sa atinga in timpul functionarii suprafata platanelor in zonele in care sunt inregistrate date. Atunci cand acest lucru se intampla, capetele deterioreaza suportul magnetic iar ulterior se defecteaza si ele. Practic in timpul functionarii, capetele plutesc pe o perna de gaz (in general aer, iar mai nou, in unele disk-uri, heliu) formata datorita rotatiei disk-urilor cu aproximativ cateva mii de rotatii pe minut. Inaltimea de zbor a capetelor este de 2 – 4 microni. In momentul in care se fac interventii la mecanica disk-ului fara utilizarea unei camere albe, particule de praf microscopice pot ajunge in interiorul disk-ului, iar in timpul functionarii pot distruge noile capete de citire precum si suprafata de inregistrare, adica datele stocate pe acel disk. Pentru a intelege mai bine acest proces, va rugam sa analizati figura alaturata.

S-a stabilit experimental ca pentru a putea lucra in deplina siguranta cu disk-urile, camerele albe folosite trebuie sa indeplineasca standardele ISO 14644-1 – ISO Class 5 sau FED STD 209E – Class 100. In principiu cele doua standarde sunt echivalente si implica un numar maxim de particule de 100 intr-un picior cub de aer (sau 223 intr-un metru cub).

QUARTZ Data Recovery este prima companie romaneasca care detine si lucreaza intr-o camera alba conforma cu Clasa 100, special construita pentru analiza si depanarea partii mecanice a disk-urilor, etapa necesara in recuperarea datelor. Mai multe informatii puteti gasi pe https://www.quartz.ro.

Intelegerea procesului de recuperare a datelor

Recuperarea datelor este procesul prin care se foloseste un numar mare de metode neconventionale pentru accesarea datelor pierdute sau inaccesibile, datorita unor disfunctionalitati hardware/software sau a unor erori ale utilizatorilor. Trebuie retinut faptul ca nu exista nici o tehnica care sa garanteze functionarea in 100% din cazuri deoarece, sunt situatii in care recuperarea de date nu este posibila (deteriorari majore ale suprafetei de inregistrare, absenta componentelor critice de firmware sau suprascrieri ale datelor). Toate tehnicile de recuperare implica riscuri mai mari sau mai mici asupra datelor ce se doreste a fi recuperate, riscuri generate in primul rand de starea suprafetei de inregistare ce se poate degrada la fiecare tentativa de accesare a datelor. Toate aceste aspecte trebuie aduse la cunostinta clientilor si este obligatia oricarui furnizor de astfel de servicii sa o faca.

In cazul disk-urilor, procesul de recuperare presupune o reparare temporara a disk-ului defect astfel incat, datele sa poata fi extrase cu ajutorul unor echipamente specializate pe un suport de date functional. Contrar miturilor existente in jurul acestui aspect, nu exista nici o tehnologie capabila sa extraga datele direct de pe suprafata platanelor. Acest lucru se datoreaza in principal faptului ca fiecare disk este unic in felul sau, unicitate rezultata in urma procesului de fabricatie.

Dupa extragerea realizata cu ajutorul echipamantelor specializate urmeaza o analiza logica prin care se obtine acces efectiv la fisierele dorite de utilizator. In functie de gravitatea distrugerilor existente la nivelul platanelor, este posibil sa se poata obtine doar o recuperare partiala.

Pentru detalii suplimentare, va rugam sa nu ezitati sa contactati specialistii QUARTZ Data Recovery.

Stergerea datelor de pe un SSD cu TRIM-ul activat

In cazul fisierelor sterse, recuperarea de date se bazeaza pe faptul ca, prin stergere fisierul nu dispare de pe dispozitivul de stocare ci sunt distruse numai informatiile de la nivelul sistemului de fisiere cu privire la stocarea fizica a respectivului fisier pe disk. Continutul efectiv al fisierului ramane in continuare salvat pana in momentul in care spatiul fizic pe care il ocupa acel fisier pe suportul de stocare este folosit pentru memorea altor fisiere.

SSD Trim

Atunci cand se foloseste un SSD, performantele acestuia se degradeaza in timp. Pentru ca acesta sa fie mentinut in parametrii de utilizare optimi, este necesar ca celulele de memorie ale acestuia sa fie suprascrise periodic cu informatie. Pentru a facilitata acest lucru, SSD-urile au implementat in firmware functia TRIM, care lucreaza in stransa legatura cu sistemul de operare. Folosind functia TRIM, sistemul de operare informeaza SSD-ul care dintre celulele de memorie sunt folosite pentru stocarea datelor si care nu. Cele care nu sunt folosite, sunt suprascrise de catre software-ul intern al SSD-ului cu un pattern aleatoriu, uzual 00. Asadar, atunci cand se sterge un fisier, un sistem de operare cu functia TRIM activata, informeaza SSD-ul ce locatii de memorie sunt eliberate iar acesta suprascrie acele locatii. Rezultatul este o performanta crescuta a SSD-ului, insa acest lucru duce la imposibilitatea recuperarii ulterioare a datelor.

Avand in vedere ca majoritatea sistemelor de operare moderne si a SSD-urilor actuale au implementata acesta functie, putem afirma ca recuperarea datelor sterse de pe aceste dispozitive este aproape imposibila. Pentru mai multe infomatii puteti contacta oricand specialistii QUARTZ Data Recovery.

Limitarile procesului de recuperare a datelor

“Mi-am pierdut datele. Oare le mai pot recupera?” – este o intrebare pe care si-o pun foarte multi atunci cand constata ca datele lor nu sunt unde ar trebui sa fie. Una din intrebarile ce ne sunt adresate de catre clientii nostrii este “Dar se pot mai recupera, nu-i asa?”. Raspunsul este ca nu intotdeauna datele se pot recupera.

Recuperarea de date, din pacate, nu este intotdeauna garantata si depinde de particularitatile fiecarui caz in parte. Sunt situatii, in care efectiv datele nu mai exista fizic acolo unde ar trebuie sa fie, caz in care recuperarea nu depinde de priceperea si experienta celor care incearca sa le recupereze pentru ca pur si simplu acestia nu mai au ce recupera.

Iata cateva exemple de cazuri in care recuperarea de date nu este posibila sau este doar partial posibila:

  • Deteriorari majore ale suportului de inregistrare. Ne referim aici la starea platanelor hard disk-urilor sau a celulelor de memorie, in cazul dispozitivelor USB sau a SSD-urilor. De exemplu, daca platanele hdd-ului au un grad suficient de mare de distrugere, in multe cazuri datele nu se vor putea recupera deloc sau va trebui sa ne multumim cu o recuperare partiala a datelor. Deasemenea, daca setarile unice din firmware, specifice fiecarui disk, sunt distruse, accesul la date poate fi pierdut pentru totdeauna.

  • Suprascrierea datelor. In cazul in care locatiile fizice de stocare unde sunt memorate fisierele sunt suprascrise total sau partial, voluntar sau involuntar, datele sunt pierdute definitv. Nu se pot recupera date suprascrise, indiferent de ce vedeti in filme sau cititi pe Internet. Mai multe detalii puteti gasi aici.

  • Datele au fost criptate si, dintr-un motiv oarecare, nu se cunoaste cheia de decriptare. Aici putem da cel mai elocvent exemplu: virusii de tip ramsomware/ cryptowall/ cryptolocker. Atata timp cat nu este disponibila cheia de decriptare, sansele de recuperare a acelor date este aproape zero. Un alt exemplu este acela, in care ati criptat in mod intentionat datele si ulterior ati uitat parola sau recovery key-ul. Si in acest caz puteti considera ca datele dumneavoastra sunt pierdute definitiv.

Experienta ne spune ca in foarte multe situatii, imposibilitatea recuperarii datelor este provocata de tentativele precedente nereusite de recuperare a datelor. Esential pentru succesul recuperarii de date este intotdeauna intelegerea exacta a naturii defectului, a ceea ce s-a intamplat exact, cum s-au pierdut acele date, ce s-a intamplat ulterior si luarea urgenta de masuri esentiale pentru a impiedica extinderea defectului si a distrugerilor suplimentare.

Atata timp cat QUARTZ Data Recovery ofera o analiza detaliata si gratuita a posibilitatilor de recuperare a datelor, de ce sa nu folositi experinta specialistilor si sa beneficiati de sanse maxime de recuperare a datelor dumneavoastra? Contactati profesionistii pentru detalii suplimentare!