Datenrettung von HDD mit SMR Technologie

Das Shingled Magnetic Recording (SMR) ist ein Speicherverfahren von Daten auf den Magnetscheiben einer Festplatte, welches aus dem Perpendicular Magnetic Recording (PMR) weiterentwickelt wurde. Die einzelnen Datenspuren werden im Gegensatz zum PMR nicht voneinander getrennt, sondern leicht überlappend beschrieben. Dies ermöglicht es, mehr Daten auf einer gleich großen Fläche zu speichern und erhöht damit die Datendichte und Datenkapazität. Die Leseeinheit des Schreib-Lese-Kopfes ist kleiner als die Schreibeinheit, deshalb bleiben die Daten trotz des teilweisen Überschreibens weiterhin lesbar. Das überlappende Beschreiben der Spuren hat lediglich zur Folge, dass bei einem Schreibvorgang die benachbarten Spuren ebenfalls neu beschrieben werden müssen.

Wo wird SMR verwendet?

Bisher wurde SMR hauptsächlich bei Datenträgern mit einer sehr großen Speicherkapazität (ca. 18 TB und einer Festplattengröße von 3,5 Zoll) eingesetzt. Neuerdings findet die Methode aber auch bei den Herstellern Western Digital und Seagate in kleineren Festplatten mit einer Kapazität von 1-2 bzw. 4-5 TB immer häufiger Anwendung.
Gründe der zunehmenden Verwendung sind vor allem die verhältnismäßig geringen Herstellungskosten basierend auf einem geringeren Materialverbrauch. Das Problem bei den voneinander abweichenden Speichermethoden ist, dass man oft nicht weiß, ob sich in der Festplatte nun PMR oder SMR befindet, da es bisher keine Kennzeichnung gibt. Vor allem bei externen Festplatten weiß man oft nicht, was drinnen steckt.

Vorteile von SMR:

  • höhere Speicherdichte (circa 25 % mehr Speicherkapazität)
  •  geringere Herstellungskosten
  • für lange sequenzielle Schreibvorgänge geeignet

Nachteile von SMR:

  • niedrigere Schreibgeschwindigkeit aufgrund des erneuten Beschreibens von Nachbarspuren
  • bei vielen kurzen und zufällig erfolgenden Schreibvorgängen weniger gut geeignet

Aufbau

Während in einer herkömmlichen Festplatte (PMR) die magnetischen Bereiche, auf denen die Daten gespeichert werden, eng aneinander liegen, überlappen sich die Spuren im SMR .

Festplatte mit PMR

PMR
Spuren liegen nebeneinander

 

Festplatte mit SMR

SMR
Spuren überlappen sich

Folge: benachbarte Spuren müssen beim Schreibvorgang ebenfalls neu beschrieben werden

Damit sich dieser Vorgang nicht auf die komplette Magnetscheibe ausdehnt, ist sie in  Zonen mit einer begrenzten Anzahl von Spuren unterteilt. Zusätzlich besitzen die Festplatten einen Cache, der die neu zu schreibenden Daten zwischenspeichert.

Um das Ganze etwas bildlicher und weniger technisch darzustellen, betrachten wir folgendes Beispiel:

Angenommen wir befinden uns in einem Lagerhaus (= Festplatte) mit einigen großen Paketen (=  Zonen). Ein Paket beinhaltet jeweils 20 Päckchen (= überlappende Spuren) mit vielen kleinen Gegenständen (= Daten). Wenn ich nun einen bestimmten Gegenstand aus einem Päckchen austauschen möchte, muss mir eine Maschine (= Schreib-Lesekopf) das große Paket aus dem Lager holen und es in einen extra Raum zum Auspacken (= Cache) bringen. Zuerst muss ich alle Päckchen aus dem Paket nehmen, bis ich das Richtige gefunden habe, bevor ich den Gegenstand entnehmen kann. Sobald ich diesen habe, packe ich die Päckchen zurück in das Paket und ich warte darauf, dass die Maschine das Paket an seinen Platz im Lager zurückbringt.
Dies benötigt selbstverständlich mehr Zeit und Arbeitsspeicher im Vergleich zu der Methode, einen Gegenstand direkt aus dem Päckchen im Regal zu entnehmen und ist Grund für die niedrigere Schreibgeschwindigkeit.

Ein weiterer Unterschied zum PMR ist das Formatieren. Sobald Dateien gelöscht werden, bzw. die Festplatte formatiert wird, werden diese direkt und endgültig gelöscht. Im Falle einer ungewollten Formatierung sollte deshalb die Festplatte mit SMR, wie sonst auch eine SSD, sofort von der Stromversorgung getrennt werden, um einen unwiderruflichen Datenverlust zu vermeiden.

Übersicht Unterschiede PMR & SMR

Festplatte mit PMR

  • Spuren für Datenspeicherung liegen eng nebeneinander
  • Daten können direkt entnommen und geändert werden
  • Daten sind erst „wirklich“ gelöscht, wenn diese erneut überschrieben wurden

Festplatte mit SMR

  • Spuren für Datenspeicherung überlappen sich
  • Datenspuren müssen auch bei kleinen Änderungen „Zonenweise“ neu geschrieben werden
  • Während HDD Leerlaufzeiten werden Daten dauerhaft gelöscht, nicht erst bei erneuter Überschreibung (wie TRIM Befehl bei SSDs)

Herausforderung bei der Datenrettung

Wie bereits in dem Beispiel beschrieben, muss durch die Unterteilung in Pakete seitens des Herstellers, dieses ausgepackt, geändert & zuletzt wieder eingepackt werden, wenn in dem Paket etwas verändert werden soll. Das bisherige Standardverfahren ist aufgrund der Überlappung der Spuren, also der Bündelung in die Pakete, nicht mehr möglich, weshalb neue und effektivere Verfahren erst noch entwickelt und getestet werden müssen. Dies bedeutet gleichzeitig einen höheren Zeit- & Entwicklungsaufwand in Relation zu Datenrettungen mit PMR.

Zudem stellt die Datenrettung von neueren Laufwerken eine weitere Herausforderung dar, denn die Service Area (SA) ist in sich abgeschlossen und kann nicht so leicht bearbeitet werden. Um eine Datenrettung durchzuführen, muss aber auf die Service Area zugegriffen und diese „manipuliert“ werden. Zum Schutz vor externen Zugriffen wird der Zugang zur SA gesperrt – ähnlich wie beim Handy, wenn die PIN zu oft falsch eingegeben wurde – sobald ein Versuch der Manipulation stattfindet. Eine Datenrettung wird quasi unmöglich. Oft besteht nur die Möglichkeit über ein Data Mining an die Daten zu gelangen, allerdings würde hierbei die Orderstruktur verloren gehen. Aktuell besteht dieses Problem nur bei der Marke Western Digital, aber es wird nicht allzu lange dauern, bis auch alle anderen Hersteller nachziehen. Datarecovery ist bereits in engem Kontakt mit den Herstellern und versucht eine effiziente Lösung zur Datenwiederherstellung ohne Verluste zu erarbeiten.

Data Mining

Um noch einmal zum Beispiel des Lagerhauses zurückzukommen:
Die Service Area kann wie ein Computer mit allen Informationen, wo welche Gegenstände verpackt sind, angesehen werden. Wenn der Zugriff gesperrt ist, also dieser Computer nicht funktioniert, ist man gezwungen, die einzelnen Gegenstände selbst zu suchen. Im Umkehrschluss bedeutet dies, man muss jedes Paket einzeln auspacken, jeweils alle 20 Päckchen herausholen und diese nach dem gewünschten Gegenstand durchsuchen. Bestenfalls findet man zuletzt zwar alle Gegenstände, aber die Päckchen und Pakete sind nun unsortiert im gesamten Lagerhaus verteilt.

Gründe für die Sperre der SA könnten vor allem die Geheimhaltung der genauen Funktion der Festplatte, resultierend aus einem starken Konkurrenzkampf sein.

Zusammenfassung

SMR bietet einige Vorteile in der Nutzung, vor allem was die Speicherkapazität angeht. Allerdings bedeutet dies ebenso ein größeres Risiko für die Datenwiederherstellung, falls die Festplatte einmal beschädigt werden sollte. Zum aktuellen Stand ist eine Datenrettung nach bisherigem Standardverfahren nicht so einfach möglich und deshalb oft mit einem hohen Zeit- & Entwicklungsaufwand verbunden.

Skurrile, kuriose & merkwürdige Datenverluste

Wir werden oft gefragt, welches die skurrilsten und besonderen Fälle von Datenverlust waren, die uns im Rahmen unserer täglichen Praxis als Datenretter begegnet sind.

Wir haben uns deshalb entschlossen, eine regelmäßig aktualisierte Übersicht dieser typischen und verrückten Ursachen für Datenverluste zu sammeln. Kuriose Datenverluste treten immer in besonders unplanbaren Situationen auf. Die Aufstellung soll der Veranschaulichung der alltäglich vorkommenden Datenprobleme im privaten Umfeld dienen.

Fliegendes Smartphone

Bei einem Tandemsprung mit einem Fallschirm fiel dem Betroffenen sein Smartphone aus der Tasche. Normalerweise wurde während der Vorbereitung zum Fallschirmsprung darauf hingewiesen, Inhalte aus sämtlichen Hosen- und Jackentaschen zu entfernen. Das Smartphone wurde jedoch vergessen. Glücklicherweise konnte das Gerät, welches aus ca. 50-100 m Höhe gefallen war auf einem Feld gefunden werden. Die Daten konnten aus dem gebrochenen Telefon gerettet werden.

Hund frisst Speicherkarte

Eine herumliegende Speicherkarte (SD-Card) wurde als kleines Leckerli vom vierbeinigen Mitbewohner interpretiert. Die Speicherkarte verließ einige Zeit später den Verdauungskanal auf der anderen Seite.
Die Daten von der physich leicht veränderten SD-Karte konnten wiederhergestellt werden.

iPhone in der Toilette

Das Smartphone in allen Lebenslagen. Bei einer Nutzung einer öffentlichen Toilette fiel der Besucherin das iPhone aus der Tasche und selbstverständlich direkt in die Toilette. Trotz Reinigung wurden bei DATARECOVERY auch in diesem Fall Einweghandschuhe bei der weiteren Begutachtung und Demontage getragen. Die Kontaktdaten aus dem Gerät konnten trotz Wasserschaden einwandfrei wiederhergestellt werden.

Speicherkarte gegrillt

Bei einer sommerlichen Grillparty darf es ruhig deftig zugehen. Zumindest bei der Auswahl des Grillgutes. Dass beim Speicherkartentausch in der Kamera ausgerechnet die SD-Karte auf den Grill fällt ist natürlich Pech. Die sofort aus der Glut gefischte Karte war bereits deformiert. Die Speicherzellen waren jedoch unbeschädigt, so dass diese von unseren Reverse-Engineers erfolgreich ausgelesen und in lesbare Daten gewandelt werden konnten.

Smartphone bei 40 Grad gewaschen

Schnell noch die Kleidung in die Waschmaschine und dabei das Smartphone vergessen herauszunehmen. So schnell kann es zu einem ordentlichen Flüssigkeitsschaden wie in diesem Fall kommen. Der Fehler wurde glücklicherweise wenige Minuten danach festgestellt, so dass das Waschprogramm abgebrochen werden konnte. Die Fotos und Videos des gut gespülten Telefons konnten erfolgreich gerettet werden.

Bitcoin Guthaben formatiert

Da der heimische PC wieder einmal digital bereinigt werden sollte, entschied sich die sonst IT-affine Ehefrau des Kunden zur Neuinstallation des Windows Betriebssystems. Was sie nicht wusste: Die Bitcoin Wallet Daten ihres Ehemanns befanden sich in den eigenen Dateien. Die Daten wurden durch die Neuinstallation teilweise überschrieben. In einer aufwändigen IT-Forensischen Rekonstruktion konnte die digitalen Schlüssel zur Bitcoin ID wiederhergestellt werden. Bei dem damaligen Kurs von ca. 10.000€ pro BTC war es den Aufwand wert.

Smartphone geht in Flammen auf

Aufgrund eines bekannten Akku-Problems eines Smartphone Herstellers kam es dazu, dass sich das betroffene Telefon nach einer spontanen starken Erhitzung selbst entzündete. Das Gerät war vollständig beschädigt. Das Speichermodul mit dem NAND-Flash Speicher konnte durch DATARECOVERY zunächst roh ausgelesen und später vollständig rekonstruiert werden. Die wichtigen Bilder, Audioaufnahmen, Dokumente sowie Chatverläufe konnten wiederhergestellt werden.

Festplatte erliegt täglicher Rad-Tour

Ein Lehrer transportierte seine wichtigen digitalen Schülerdaten (Vorbereitungen, Klassenarbeiten, Korrekturen, Klassenbücher und Notenspiegel) auf einer einzigen externen Festplatte, die sich in seiner ledernen Aktentasche befand. Diese wiederrum wurde täglich auf dem Gepäckträger eines Tourenfahrrades befestigt. Was der radelnde Pädagoge nicht wusste: Durch die stetigen Erschütterungen wurde der Datenträger langfristig geschädigt. Der über 2-3 Jahre andauernde Prozess führte letztendlich zum Datengau – 2 Wochen vor Ausgabe der Zeugnisse. Dank Express-Bearbeitung konnten alle Daten innerhalb von 48h wiederhergestellt werden.

Herbst Studie 2018: Backupverhalten und Risiken für Datenverluste in den deutschen Unternehmen

Studie zu Datenverlusten innerhalb der letzten 12 Monate

Datensicherung nach IT Security Konzept?

Wie erfolgt das Löschen und Vernichten von Daten?

Fatale Bewerbung: Trojaner GandCrab V4 getarnt in Bewerbermails mit Anhang

Wiederherstellen verschlüsselte Daten nach Ransomware Attacke mit GandCrap

Seit wenigen Tagen kursieren zahlreiche Spam-Emails von einer vermeintlichen Bewerberin inklusive Foto und ZIP Datei im Anhang in den Postfächern vieler Internetnutzer. Im Betreff der E-Mail steht „Bewerbung von Hannah Sommer“. Die Namen variieren und auch die dazugehörigen Fotos der Bewerber. Es handelt sich jedoch keinesfalls um eine Bewerbung, sondern um einen gefährlichen Crypto-Trojaner. Gefährdet sind hier vor allem Windows Nutzer, da sich im Anhang ein VBS Downloader bedindet, der die Ransomware GandCrab Version 4.x auf dem PC installiert. Nach der Installation werden sämtliche, zugängliche Daten durch die Ransomware verschlüsselt. Die Dateien erhalten danach die Endung „.krab“.
Wie auch bei anderen Verschlüsselungstrojanern ist es besonders kritisch, wenn Speicherorte im Netzwerk erreichbar sind. Dann nämlich werden auch diese Daten durch den Schädling verschlüsselt und zunächst unbrauchbar gemacht.

Was tun, bei einem Ransomwarebefall durch GandCrab?

  • Sofort Externe Festplatten entfernen
  • Netzwerkzugänge deaktivieren (Netzwerkkabel abziehen)
  • IT Verantwortlichen sofort benachrichtigen, damit dieser Maßnahmen ergreifen kann
  • Andere Mitarbeiter vor der Gefahr warnen
  • Datenspezialist kontaktieren und Datenzustand professionell prüfen lassen.

Ist eine Entschlüsselung der Daten durch DATARECOVERY möglich?

Dies können wir leider nicht pauschal sagen. Die AES 256 Bit Verschlüsselungen sind nicht ohne weiteres zu entschlüsseln, sofern man den notwendigen Schlüssel nicht besitzt. Dies ist auch der Hintergrund der Erpressung. Allerdings haben wir in sehr vielen Fällen Lösungen zur Entschlüsselung entwickeln können.

Bei Fragen kontaktieren Sie uns am besten mit genauen Angaben zur Verschlüsselung.

Schlagworte: ,

Samsung Galaxy S6 Datenrettung

Datenwiederherstellung Samsung Galaxy S6

Sie haben ein defektes Samsung Galaxy S6 und möchten wieder Zugriff auf die Daten erlangen? Kein Problem, wir bieten die Professionelle Datenrettung von Android Smartphone und insbesondere die Wiederherstellung von Samsung Galaxy S6 und Edge Smartphones.

Daten wiederherstellen vom Samsung S6 / S6Edge

  • Whats App Nachrichten und Dateien (z.B. Bilder)
  • Fotos, Videos
  • Kontakte
  • E-Mails
  • Dokumente (z.B. PDF, Word, Excel)
  • Spezielle Daten (z.B. Kommunikationsdaten mit Server, oder Spezialsoftware)

Wir erfolgt eine Datenrettung vom Samsung Galaxy S6 Handy?

Zunächst wird das Smartphone vollständig demontiert. Danach erfolgt die Entnahme des NAND Flash Speichers, der sich im Inneren des Handys befindet. Unsere auf Flash-Datenrettung spezialisierten Engineers lesen dann die Rohdaten aus dem Flashspeicher aus. Die Rekonstruktion der eigentlichen Daten erfolgt dann in einem spezialisierten Verfahren, welches wir selbst entwickelt haben. Am Ende werden die geretteten Daten auf Ersatzmedien, z.b. Festplatten, gespeichert und an den Kunden übergeben.

Wie lange dauert eine Datenwiederherstellung von einem Samsung Galaxy S6?

In der Regel sind Daten innerhalb von wenigen Tagen wiederherstellbar. Wir bieten zur beschleunigten Recovery ein Express-Verfahren. Dabei arbeiten wir 24h täglich und bieten so in zeitkritischen Situationen die schnellstmögliche Lösung für den Kunden.

 

Schlagworte: ,

Datenrettung von Bitcoin Wallets und Altcoins, Tokens und Co.

BTC - Bitcoin Datenwiederherstellung

Nach der steigenden Nachfrage von Bitcoin und der umfangreichen Erwähnung in den Medien erreichen uns mittlerweile zweistellige Anfragen im Monat von Interessenten mit gelöschten oder verlorenen Kryptowährungen auf dem Notebook, PC oder Smartphone.
Vorwiegend wurden die s.g. Wallet-Dateien gelöscht oder unbeabsichtigt überschrieben. Aber auch Hardwaredefekte und fehlende Datensicherungen der Crypto Wallet Daten sind häufig die Ursachen für einen Verlust der mittlerweile wertvollen virtuellen Coins.

Wie kommt es zum Bitcoin Datenverlust?

  • Festplatte defekt
  • Smartphone startet nicht mehr
  • Reset und Überschreiben der Wallet-Datenbereiche (wallet.dat)
  • Problem mit dem Betriebssystem oder Auslösen der Werkseinstellungen
  • Abhandenkommen des Datenträgers und keine Sicherung

Welche Möglichkeiten der Datenrettung von Bitcoin und Co.?

Wie auch bei normalen Daten ist der Schaden und Schadensverlauf zuerst wichtig, um die weiteren Schritte zur Datenrettung zu bestimmen. Liegen mechanische oder elektronische Beschädigungen von Festplatten vor, müssen diese zuerst instand gesetzt werden. Anschließend erfolgt die logische Wiederherstellung der Bitcoin Daten (wallet Datenbanken). Die Chancen einer erfolgreichen Wiederherstellung sind sehr stark abhängig vom Fall selbst und dem bereits angesprochenen Schaden. Bei Flash-Speichern (SSD, Smartphone, USB-Stick) ist das Wiederherstellen nach Löschen oder Überschreiben besonders schwierig. Hier werden durch uns meist die Flash-Speicher komplett in alle Einzelteile zerlegt, um dann direkt auf die Rohdaten der Speicherzellen zugreifen zu können.

Jetzt unverbindlich Beratung anfordern! Analyse zur Bitcoin Datenrettung

Erste Schritte nach Datenverlust

  • Ruhe bewahren
  • Professionelle Analyse beauftragen (keinesfalls selbst oder durch Bekannte/Freunde ohne genaue Kenntnisse herumprobieren)
  • Datenrettung kalkulieren lassen und ggf. Auftrag erteilen
  • Wiederherstellung der Daten auf einem Datenträger seiner Wahl erhalten

Empfohlene Vorgehensweise beim Einrichten und Nutzen von Bitcoin Wallets

    • Richtige Software von Bitcoin.com herunterladen
    • danach unbedingt Backup der Software bzw. Datenbank
    • Jetzt kann die Wallet genutzt werden
    • Public und Secret Schlüssel erstellen
    • Wiederherstellungspasswort an sicherem Ort aufbewahren
    • keine Screenshots oder Klartext-Kopien im gleichen Ordner oder PC speichern
    • Keine unüberlegten Schritte gehen oder Daten an Dritte herausgeben (z.B. durch Fishing)

Weitere Informationen zur Wallet auf der Bitcoin Homepage

Wie werden Bitcoins gespeichert?

Die eigentlichen Coins werden immer zentral in der Blockchain gespeichert. Der Nutzer sichert immer nur den Zugang mittels privatem Schlüssel. Dieser wird beim Erzeugen einer Wallet generiert (256bit). Die Wallet selbst, also auch das Schlüsselpaar (privat/öffentlich) kann dann wie folgt gespeichert werden.

  • lokale Speicherung in einer Wallet-Software
  • Cloud-Wallet (analog zur Offline Wallet, nur in der Cloud)
  • in einem virtuellen Wallet-Konto bei einer Handelsplattform (z.B: Kraken, Poloniex, Bitfinex, etc.)

Datenrettung anderer Kryptowährungen

Die Vorgehensweise ist generell vergleichbar mit Bitcoins. Es geht hauptsächlich um die Analyse und Rekonstruktion der Wallet-Daten, also der privaten Schlüssel, die sich in den jeweiligen Datenbanken der digitalen Geldbörsen befinden. Häufig angefragte andere Crypto-Coins sind:

  • Datenwiederherstellung von Bitcoin Cash (BCH) / Bitcoin Gold (BTG)
  • Litecoin Rekonstruktion (LTC recovery)
  • Ethereum Wallet wiederherstellen (ETH)
  • IOTA Tokens retten (IOT)
  • Ripple (XRP) Coins rekonstruieren

Schlagworte: , , ,

SAN Datenrettung von Compaq (HP) StorageWorks (Fallstudie)

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Datenrettung SAN für öffentlichen Träger Rostocker Freizeitzentrum e.V.

  • Betroffenes System: SAN Compaq StorageWorks
  • Datenträger: 14 SCSi – 146GB Ultra320 3.5-Zoll (HPe zertifizierte HDD diverse Modelle)
  • benötigte Daten: vmWare virtuelle Server (MS Exchange, Small Business Server (SBS), SQL Server mit 5 Datenbanken, Terminalserver, Dateiserver)
  • Wiederhergestellte Daten: 1,22 TB (enthalten waren die o.g. virtuellen Server bzw. Datenträger)

Ursprünglicher Zustand: Kein SAN- und Serverzugriff mehr nach Ausfall von drei Festplatten

Über Nacht waren drei SCSi Datenträger (HPE 286716-B22) ausgefallen. Das RAID 5 war nicht mehr konsistent und deshalb offline. Nachdem unser Partner vor Ort (IT Consultant Swen Cornelius) sich einen kurzen Überblick über das Setup und den Schaden verschafft hatte, wurden wir zur Untersützung und Tiefendiagnose der Datenträger im RAID 5 Array hinzugezogen. Unsere Diagnose ergab, dass die drei betroffenen Medien mechanische Schäden an den Schreib-Leseköpfen und Oberflächen der Platter aufwiesen. Wir konnten anhand der RAID 5 Fragmente präzise einen Workflow zur Recovery festlegen und diesen dem Kunden präsentieren.

SAN Datenrettung und Wiederherstellung aller virtuellen vmWare Datenträger und Server

Nachdem der Ablauf definiert war, wurde unverzüglich mit der Wiederherstellung des SAN bzw. des RAID Verbundes begonnen. Zur Gewinnung der Paritätsdaten war es zunächst erforderlich, die kaputten SCSi Festplatten im Labor zu rekonstruieren und deren Rohdaten zu gewinnen. Nachdem alle verfügbaren Datenfragmente logisch verfügbar waren, wurden dann im mehrstufigen Projekt die Paritätsdaten zusammengefasst und noch offene logische Beschädigungen durch individuelle Prozessspezifische Tools rekonstruiert. Ein großer Teil erfolgte manuell, da die vollständige Lesbarkeit und damit die Verfügbarkeit der ursprünglichen virtuellen Server im Fokus stand. Nach einer abschließenden Konsistenzprüfung stand fest, dass 100% wiederhergestellt wurden. Die Bereitstellung erfolgte auf dem schnellstmöglichen Weg. Die Integration erfolgte durch den vor Ort beauftragten Consultant und dessen Team. Innerhalb weniger Tage war der Tagesbetrieb des Rostocker Freizeitzentrums wieder vollständig möglich.

Schlagworte: , , ,

Datenrettung von Seagate SSHD mit BSY Fehler erfolgreich durchgeführt

datarecovery-sshd-datenrettung-von-seagate-st500lm000-bsy-bug

Fallstudie: Kein Zugriff mehr auf Seagate SSHD möglich

Ein Businesskunde hatte plötzlich keinen Zugriff mehr auf seine Notebook-Festplatte. Das Hybridmedium war eine SSHD vom Typ ST500LM000 mit einer Gesamtspeichermenge von 500GB. Außer dem plötzlichem Versagen des Speichermediums waren keine anderen Anzeichen bemerkbar. Anwenderspezifische Ursachen konnten ausgeschlossen werden.

Analyse bei DATARECOVERY®: Seagate Bug & BSY Modus

Nachdem die Ausgangslage bekannt war, wurde eine Diagnose im Datenrettungslabor bei DATARECOVERY® veranlasst. Die Techniker fanden heraus, dass sich das Medium im „BSY“ Modus, also in einer Art Dauerbeschäftigung befand. Das Problem konnte innerhalb der Firmware lokalisiert werden.

DATARECOVERY® verfügt über eine eigene Entwicklungsabteilung für fortschrittlichstes Know-how und moderne Technologien auch bei aktuellsten Speichertechnologien.

Erfolgreiche Datenwiederherstellung mit R&D Unterstützung

Zum Zeitpunkt waren keine standardisierten Lösungen verfügbar, um Daten von SSHD Drives mit dem BSY Problem zu retten. Einzelne Fachpublikationen von Reverse-Ingenieuren beschreiben den Workflow mittels temporären Zugriffs auf den Arbeitsspeicher (RAM) der SSHD Laufwerke. In dem uns vorliegenden Fall war ein temporärer Zugriff ausgeschlossen. Die Lösung konnte nur durch den direkten Eingriff in die Firmware ermöglicht werden. Mit Unterstützung der firmeninternen R&D Abteilung (Entwicklung von Hard- und Softwaretechnologien zur Datenrettung) konnte ein Workflow mittels Zugriff auf die Firmware des SSD-Teils ermittelt werden. Die Datenwiederherstellung erfolgte vollständig. Alle Daten konnten einwandfrei rekonstruiert werden.

Datenrettung von weiteren SSHD Modellen mit BSY Bug möglich

Nach weiterer Entwicklung konnten Lösungen für folgende SSHD Modelle erarbeitet werden:

2,5 Zoll Modelle

  • ST500LM000
  • ST500LM001
  • ST500LM020
  • ST1000LM014
  • ST1000LM015
  • ST1000LM028
  • ST500LX012
  • ST500LX013
  • ST500LX014
  • ST500LX016

3,5 Zoll SSHD

  • ST1000DX001
  • ST2000DX001
  • ST4000DX001

 

Schlagworte: , , , ,

DATARECOVERY® Datenrettung: auf der ITSA 2016, Stand 546

datarecovery-auf-der-itsa-2016-in-nuernbergVom 18. bis 20. Oktober 2016 findet die größte europäische Fachmesse für IT-Sicherheit (ITSA) in Nürnberg statt. Mit knapp 500 Ausstellern bietet die Messeveranstaltung die Möglichkeit sich gezielt im IT-Sicherheitsumfeld zu informieren.

DATARECOVERY® – Professioneller Datenretter im IT-Security Alltag

Neben Hard- und Software Herstellern und zahlreichen IT-Systemhäusern mit proaktivem IT-Sicherheitsbezug präsentiert sich DATARECOVERY® als Dienstleister für Datenwiederherstellung und IT-Forensik. An Stand 546 können Kooperationspartner und IT-Entscheider sich ausführlich über Möglichkeiten und Fallstudien zur Rekonstruktion von Daten jeglicher Art informieren.

ITSA 2016 Umfrage: Nur unzureichende IT-Sicherheitskonzepte in den Unternehmen

Laut einer Umfrage im Vorfeld zur ITSA 2016 bestätigten sich bisherige Prognosen zur Marktentwicklung im Bereich der IT-Sicherheit. Ein Bezug zum IT-Sicherheitsgesetz konnte zwar festgestellt werden, jedoch nicht in dem Ausmaß, wie es noch 2015 prognostiziert wurde. Außerdem gibt die ITSA Aufschluss über den Anteil von Unternehmen die über ein relevantes IT-Sicherheitskonzept verfügen. Vor von kleinen Unternehmen mit weniger als 50 Mitarbeitern verfügen nur ca. ein Drittel über ein Sicherheitskonzept. Bei größeren Unternehmen mit mehr als 250 Mitarbeitern wird deutlich aktiver vorgesorgt. In knapp 70% handeln IT Verantwortliche proaktiv und verfügen über aktuelle Desaster-Recovery Pläne.

Sicherheits- und Datenvorfälle ausschlaggebend für Investitionen und Datenrettungen

Erst wenn es zu spät ist, werden Sicherheitsrisiken erkannt und ernst genommen. Dies gilt nicht immer aber immer noch recht häufig bei den Kostenverantwortlichen in den Unternehmen. In weniger als 50% aller Fälle handeln Unternehmen proaktiv. Daraus entstehen die meisten uns vorliegenden Datenverlustszenarien im B2B Bereich. Wir bieten für Unternehmen aus Industrie, Handel und Service die Möglichkeit sich gegen einen Datenverlust abzusichern. Durch die Kooperation mit DATARECOVERY® können Sie im Fall eines Datenverlustes schnell und sicher reagieren. Durch das bestehende Kundenverhältnis kann eine zügige Abwicklung und Wiederherstellung der Daten ermöglicht werden.

Sie haben Interesse an einer Kooperation mit DATARECOVERY®? Wir freuen uns auf Ihre Anfrage als Kooperationspartner.

Schlagworte: , , , ,

Datenrettung & Entschlüsselung von Daten nach Befall von CrySIS Ransomware

wiederherstellung-datenrettung-entschluesselung-daten-ransomware-crysis-datarecovery

Nach dem Motto „Doppelt hält besser“ musste ein bekannter deutscher Sportverband den Befall von mehreren so genannten Filecodern vom Typ CrySIS erfahren. Zwei Versionen der Ransomware wurden später im Zuge der Datenrettung festgestellt.

Betroffenes System: RAID5 auf Fileserver mit 12 Terrabyte Daten

Der Windows Server verfügte über ein separates RAID5 Array, auf dem sämtliche Daten des Verbandes im Netzwerk gespeichert und archiviert wurden. Dabei sorgten vier Seagate Festplatten vom Typ ST4000VN000 für insgesamt 12 Terrabyte verfügbaren Datenspeicher. Über Nacht waren plötzlich sämtliche Daten der Netzwerk-Shares verschlüsselt worden und somit nicht mehr verwendbar. Ein nachträglich durchgeführter Antivirentest durch „Malwarebytes Anti-Malware“ konnte keinen Befall von Schadsoftware feststellen. Nach der Feststellung des katastrophalen Zustandes des Dateiservers wandte sich die IT-Abteilung des Sportverbandes an DATARECOVERY®.

Express Diagnose: starke Verschlüsselung und Logische Beschädigungen

Per Direktkurier wurden noch am selben Tag sämtliche Serverfestplatten in das Zentrallabor nach Leipzig gebracht. Dort erfolgte die Datenträgeranalyse in Quarantäne. Es wurden schwerwiegende Schäden am Dateisystem festgestellt sowie die komplexe Verschlüsselung durch die Ransomware CrySIS. Nachdem die Diagnose des schadhaften verschlüsselten Systems abgeschlossen war, wurde unmittelbar mit der Datenwiederherstellung und Entschlüsselung der Daten begonnen.

Erfolgreiche Datenrettung: Entschlüsselung zweier Trojaner + Logische Rekonstruktion im Dateisystem

Die Kryptografie Spezialisten bei DATARECOVERY® übernahmen die Entschlüsselung der Dateien. Bei der aufwändigen Ermittlung des zugrundeliegenden Schlüssels wurde festgestellt, dass es sich nicht nur um eine Verschlüsselung handelte, sondern gleich zwei Trojaner desselben Typs zugeschlagen hatten. Es galt somit zwei Schlüssel herauszufinden. Dazu kamen die bereits in der Diagnose festgestellten logischen Beschädigungen. Diese waren in der Folge des gleichzeitigen Zugriffs verschiedener Ransomware (beide vom Typ CrySIS) entstanden. Ettliche Dateien wurden teilweise überschrieben oder verfügten über Schäden in den Metainformationen. Die Datenwiedeherstellung erfolgte somit in drei Schritten.

  • Entschlüsselung der Daten durch den ersten Trojaner
  • Entschlüsselung mit zweitem Schlüssel durch Ransomware 2 verschlüsselter Daten
  • Rekonstruktion und Reparatur von beschädigten Daten die durch den zeitgleichen Zugriff zweier Ransomware entstanden waren

Fazit: Es konnten alle Daten erfolgreich und vollständig lesbar wiederhergestellt werden. Der Geschäftsbetrieb konnte unmittelbar danach wieder aufgenommen werden.

Schlagworte: , , , , , ,

Logos unserer Partner
Sehr gut
Alles wiederhergestellt
Es wurden bis auf die letzte kleine Daten alles fehlerfrei… 0
DATARECOVERY®
Nonnenstr. 17, 04229 Leipzig
0800 073-88-36