Вложений: 1
Шифровальщик системного раздела, по всей видимости включающий загрузчик и драйвер-фильтр
Клиент схватил шифровальщик системного раздела. Какой и откуда - загадка, не признается или сам не понял. С его слов - жесткий диск долгое время "гудел", он выключил ноутбук и больше он не загружался. Ситуация усугубилась тем, что пользователь решил сам все исправить и угробил всю структуру разделов.
R-Studio (и тому подобные) ничем не помогли, но мне вручную (через WinHEX) удалось найти начало системного раздела и выделить его отдельно. И тогда я заметил действия шифровальщика: [B]первый байт каждого сектора изменен по определенной маске[/B]. Нулевые сектора изменяются следующим образом:
Первые семь секторов изменяются на: 01 03 01 07 01 03 01
А каждый восьмой сектор изменяется на: 0F 1F 0F 3F 0F 1F 0F 7F 0F 1F 0F 3F 0F 1F 0F FF
Таким образом последовательность изменений выглядит как: 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 7F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 3F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 1F 01 03 01 07 01 03 01 0F 01 03 01 07 01 03 01 FF
Механизм изменения секторов с данными зависит от этой же последовательности, но нестандартен.
Собственно вопрос, что это за зверь? Скорее всего, что-то уже давным-давно хорошо известное и имеющее готовые утилиты для восстановления.
P.S. В приложении кусок из начала партиции.
