Восстановил кошелёк со 100 биткоинами, купил дом в Маями

Одна из моих излюбленных тем – это восстановление потерянной информации. В обычных случаях данные теряются вследствие ручного удаления, после форматирования и системных сбоев. Хуже, когда вирусы шифруют или удаляют файлы.

Очень повезёт, если то что нужно будет лежать в Корзине как на блюдечке. Неплохо, если осталась резервная копия на флешках или в облаках. Но когда ничего не осталось, то остаётся только использовать специальные программы. Они сканируют каждый сектор диска, вычитывают всю информацию и строят дерево «старой» файловой системы.

В двух словах, процесс удаления-записи инфы на дисках:

  • При удалении файла, он просто перестаёт отображаться в проводнике, сами же данные остаются как есть
  • При появлении новых файлов, их данные могут перезаписать данные старых файлов, т.е. наложиться сверху, а могут и не сделать этого, т.е. будут записаны в других секторах диска

Из этого получается, что программы-реаниматоры могут полностью восстановить данные только тех файлов, сектора данных которых не были заменены новьём. В противном же случае, файл также вероятно будет восстановлен, но не весь. Например, картинка будет содержать пустые или зашумленные области, видеоролик и аудиозаписи будут с артефактами.

Следующий вывод: чем больше файл, и чем более давно его потеряли, тем меньше вероятность его полного восстановления.

Про биткоины в заголовке не касается меня лично, но кто-то реально мог это сделать. Кошелёк биткоина состоит из ключей, которые занимают всего несколько килобайт места. Представьте, что у кого-то 7 лет назад было 100 залётных биткоинов на старом ноутбуке, которые он давно потерял и забыл. Если сегодня достать пыльный ноут с гаража, восстановить эти несчастные несколько килобайт и продать битки на бирже, то получим 1,5 миллионов долларов :) На момент прочтения статьи сумма может быть абсолютно другая) Разумеется, что восстанавливать ключи можно от любых криптовалют, и даже если вы их потеряли вчера.

Как вернуть потерянные файлы к жизни

Программа называется EaseUS Data Recovery Wizard. Она умеет бесплатно восстанавливать 500МБ данных. Если поделиться ей в соцсетях, то даст ещё 1500МБ. А безлимит только в платной версии.

Скачать EaseUS Data Recovery

Программа простая как шапка, это мне нравится. Даже настроек никаких нет, знаю, это понравится многим другим) Но они здесь и не нужны, т.к. главное это алгоритм сканирования секторов и интерфейс пользователя.

EaseUS Data Recovery Wizard умеет восстанавливать любые данные, если они не были перезатёрты. Единственное условие – диск должен отображаться в Windows, ну чтобы его можно было выбрать в программе. Никаких вопросов не задаёт, просто делает свою работу. Поддерживаются все распространённые файловые системы:

  • FAT (FAT12,FAT16,FAT32)
  • exFAT
  • NTFS, NTFS5
  • ext2, ext3
  • HFS+

Лайфхак, если потерялись все разделы: нужно отформатировать диск быстрым способом, тогда его можно будет выбрать, данные от этого ещё больше НЕ пострадают.

Подойдут любые носители: жёсткие, внешние, SSD диски, флешки, карты памяти и любые другие, которые отображаются как диск в проводнике.

После установки и запуска программы нужно выбрать диск:

Местоположение – конкретную папку рекомендую не указывать, т.к. время сканирования от этого не уменьшится, но зато зафильтрует результаты поиска только одной папкой. Лучше будет выбрать её потом среди всех найденных.

Начнётся сначала быстрое сканирование, во время которого наш спаситель найдёт самые легковосстанавливаемые файлы, которые были удалены вручную и не так давно:

Уже можно найти и восстановить нужные файлы/папки. Вверху есть фильтр по типам: все, графика, аудио, документы, видео, электронная почта и другое, возможно это упростит сёрфинг по дереву каталогов. А в это время будет происходить глубокий анализ, тот самый, когда считываются все сектора носителя. Это долгий процесс, например, для флешки на 16Gb он занимает 10-15 минут. Жёсткий диск на 500Gb будет сканироваться более часа. Процесс можно приостановить кнопкой «Пауза», если что-то нужно срочно сделать, а компьютер тормозит.

Обратите внимание, что в дереве отображаются все файлы, но удалённые помечены буквой «d» на иконке. Теперь лучше дождаться окончания полного сканирования, во время которого данные лучше не восстанавливать, т.к. они ещё не готовы.

Некоторые файлы могут показываться без первой буквы имени. С большой вероятностью, они частично перезаписаны и будут восстановлены не полностью. Большой размер восстановленного файла не гарантирует, что он целый. Например, картинка может весить как и раньше, но может вообще не открываться.

Однако, это не значит, что она совсем пустая. Для реставрации таких данных, как фотографии, видео, музыка и документы можно попробовать использовать специализированные программы. Обычно, после такой обработки файлы открываются без ошибок и могут даже содержать часть полезной информации.

Итак, мы нашли нужный файл/папку. Теперь ставим галочку на нём, нажимаем кнопку «Восстановить» и выбираем место куда сохранить.

На этом всё, но есть несколько нюансов. Самое главное это не сохранять на тот же диск, на котором лежит удалённый файл. Т.к. в процессе записи новый файл может начать перетирать свои же старые данные.

Также обратите внимание на папки слева в дереве «Особые потерянные файлы» и «Больше потерянных файлов». Сюда скопом скидываются все файлы, для которых не удалось найти папку, в которой они лежали и часто теряется даже имя. Остаются только расширения и размер, по которым они и сортируются. Придётся попотеть, чтобы найти то, что нужно, но оно может того стоить! И ещё дам подсказку где искать файлы, помещённые в корзину, но её очистили. Нужно зайти в папку $recycle.bin

Иногда нужно выключить ноутбук, но не хочется потом заново сканировать диск. На помощь придёт сохранение сессии кнопочкой вверху.

А если поймал вирус Petya или WannaCry?

И есть хорошие новости для «везунчиков», которые подцепили вирусы-вымогатели. Есть такие вирусы, которые напрямую безвозвратно шифруют файлы, тогда их никак нельзя восстановить, например это Cerber и Zepto. Но Petya и WannaCry создают новые зашифрованные файлы, а старые удаляют. И мы можем их пытаться реанимировать также, как и обычные потерянные файлы, т.е. как описано в статье.

А если рабочий стол не загружается, то нужно использовать загрузочные флешки с WinPE. Как вариант, это взять EaseUS с лицензией Pro+WinPE, там уже всё встроено.