Re: [救援] 有高手可以幫我們進行資料救援嗎?
看板Storage_Zone (儲存裝置)作者diji777 (世界流浪漢)時間1月前 (2026/03/22 00:31)推噓113(113推 0噓 165→)留言278則, 107人參與討論串3/3 (看更多)
※ 引述《blue0413 (比爾林)》之銘言:
: 大家好
: 我們這裡是微型身障團體(視障家長協會),
: 今天發現我們的公用區電腦中了勒索病毒,
: 檔命後方出現 .want.to.cry
: 裡面許多的資料都毀損,
: 要命的是我們這些資料都沒有備份,
: 在這裡想找有沒有高手可以幫我們資料救援,
: 我們願意花錢聘請協助救援,
: 意者煩請私信給我,謝謝!
回應各路鄉民跟酸民
當事人所謂的公用區其實是網芳開啟的電腦 開啟網芳給其他台用
由於某種不明原因更新後其他電腦連不上, 所以該單位的電腦維護直接關Windows Update
病毒入侵時間為發文當日 08:36分, 在下午1:30分左右加密完成
(以上是i3-10100的實力, 加上硬碟壞軌跟冷資料buff)
當事人發現到檔案無法打開之後, 處理方式是關機 (錯過第一次黃金救援時間)
(內心OS 心已涼半截)
--------- (我叫分割線)
當事人主機為華碩商用電腦帶Windows 10 Pro, i3-10100+8G DDR4
拆機看到配置為 2.5" 250G SATA SSD (WD BLUE WDS250G2B0A, retail)
2.5" 1TB SATA HDD (WD10SPZX OEM, 可能是與筆電大量採購留下的)
(以上有疑慮點, WD SSD是查序號得知零售版本, 原nvme插槽的硬碟不見了!!)
用創見的2.5"轉3.5"支架裝在電腦上
後來發現該協會中毒的電腦預設是跑intel RST @__@ (傻眼貓咪)
到底是不是有m.2 被幹走 (至少是Optane) 就有想像空間
補充: 用序號查發現原配可能是512G or 1T nvme SSD + 1T HDD
發現有救援磁區痕跡但可能是clone過程中複製2份, 並沒有還原檔
證實被調包!!!
資料救援部份
該台電腦有防毒軟體, wannacry的tesk都被刪除
SSD主控為 marvell 88S1074 未與顆粒加密 (還好有料版)
Dump資料參考小飛機修澤石的硬碟, 載入澤石無加密韌體
讀顆粒未被trim的部份撈回一些tesk 但是沒有mft表, 只能土法煉鋼找tesk跟讀顆粒
至於存網芳資料的HDD, 剛讀下去就只剩0.6-10M/s 一直出05 C5
硬幹一晚上換磁頭clone (打壞三個) 到我的配件硬碟上
失去tesk跟mft表的硬碟用recuva簡單的做法撈不出來 (參考版友提供巴哈資料)
目前是用PC3000讀底層 讀到300G左右的底層資料, 用i5-11400 AVX512
暴力算跟暴力找被病毒刪除的未加密檔案
參考資料:
http://roger6.blogspot.com/2017/06/wannacry-analyze-5.html
https://www.cs.utep.edu/CFIA/files/outreach/WannaCryKeyRecovery/
WannaCryKeyRecovery_Exercise.pdf
補充參考資料:
https://easonwang.gitbook.io/crypto/aes
https://www.reddit.com/r/archlinux/comments/1ebsua0/faster_aesxts_610_kernel/
?show=original
https://www.reddit.com/r/crypto/comments/f7c2nv/chacha20_v_aes256/
?show=original
撈出300GB可讀取寫入的MS Office檔案
由於沒有mft表, 檔案名稱無法定義, 只知道能看到2023-2025的資料,
可讀寫的MS office file, 目前待當事人確認
去過該協會真的一窮二白, 在那邊找到一台G31 E4700 CPU + 2G RAM
AM3 785G的套裝電腦 (目前有帳無法做進一步處理)
硬碟皆已壞軌, 主機狀況未知 (沒空測)
目前已失去的東西有 WD 250G SSD (拆過焊過不敢給一般人用)
WD 1TB HDD (已經打開過)
考慮做法:
找有UEFI的版子 (intel H61以上) 自組TrueNAS/ FreeNAS/ 黑群暉之類..
至少 Linux based/ FreeBSD based 不會受到WannaCry攻擊
或是當事者願意花錢買成品NAS, 用辦公電腦開網芳又關Windows Update真的還會再出事
以上是36小時+++不睡撈出來的亂七八糟成果,
如果有高人指點比對撈出檔案與中毒檔案可以提供參考資料或協助
-------------(我又是分隔線)
拋磚引玉: 我跟該協會只收取車馬費 (畢竟來回500KM)
免收工錢跟配件費
希望其他版友有垃圾出垃圾 XD
撿垃圾環節
240-256G m.2 or SATA SSD (重做系統, Dramless跟QLC沒差, 一日寫入量約10G內)
2TB HDD, SMR/CMR不拘 (ironwolf or skyhawk 4T 都要 4990以上)
該台電腦有四條DDR4插槽, 可以收DDR4 2400單條4G*3 補滿 8G跑Win11 25H2真的有拼
32G+ msata/sata SSD + 4TB HDD (我自己有多的ST4000VX016, 還需要湊raid6)
或是有多的ST1000DM003/010 (缺TLER指令) or DT01ACA100 7K.1000B/C/D (有TLER)
有UEFI BIOS主機板 DDR3就可 (intel H61就可, 自組nas用)
我自己會捐8G DDR3, PCI-E轉SATA卡, 1150/1155 CPU XD
or 2TB+ USB外接硬碟 (如果對方分享器有USB port/samba功能, 目前未知)
以上, 做而言不如起而行, 回應對我有疑慮的版友.
也歡迎各路高手技術交流 至少是幫社福團體做好事 :D
修文增加: 目前協會資料已撈回70% 已用光配件磁頭跟料板
想說在3月底交付, 目前原資料加解密後資料約900G
協會有3台電腦, 想說開始重灌系統交付
急需的有 DDR4 4G 2133以上*3 (中毒電腦還有空插槽, 已做好11 25H2)
1TB HDD (或是買新的4T HDD, 1T CP值太低, 2-3T都是SMR居多)
我會另外後續幫該協會剩下2台都升級到 Window 11 25H2
---------------- (分割線 募資集中區)
推 kaoru7568 : 我有不要的1T硬碟,但久沒使用要通電看看 03/22 14:39
推 bust222 : 我有一台群暉的老nas ds916+沒在用的 很新 d大用得 03/23 08:21
→ bust222 : d大沒事 就說信任你了 需要的話我這裡還有閒置的螢 03/23 13:55
→ bust222 : 幕 新鍵盤滑鼠 本來也打算捐掉的 你就一起拿去吧 03/23 13:55
→ bust222 : 事 總比我放著吃灰好 我記得裡面好像是2t*4就是了 03/23 13:25
→ jacky81005 : 家裡還有多的 WD 1TB 硬碟也可以捐贈~ 03/24 08:22
私信的 不願透露id的善心版友 Intel 250G SSD
(已收到, 健康度84%, 可拿來重灌中毒社工電腦系統碟)
nightwind209 版友 B75M-A + DDR3 8G*2 + 120G SSD
(主機板有記憶體相容性問題不容易斷電後重開機, 我將自取後debug)
Cornelius 版友, 7代G4560 DDR3 組裝電腦, 無硬碟, 已收到
nwlsa1098 版友, MX500 500G 2顆, Samsung 860 Evo 500G 一顆
r0ndo9 版友, ST4000VN006一顆
twtpcsilence 版友, 創見DDR3-1333 4G*2
李先生, 美光8G*2 DDR4-3200 套條一組
我能自己掏的 Acer X1440低功耗小主機 AMD E1-1200 TDP 18W
(UEFI bios 前身是解bitlocker加密用料版 效能可能只能當DAS用)
i3-3225 (黑蘋果拔下來的) or i5-2320
協會原本有的: i3-8100 套裝機 8G DDR4 RAM 250+500G Dramless SSD + 15" LCD
i3-10100 套裝機 8G DDR4 RAM目前無硬碟 + 22" or 24"未知 D-SUB
i5-12500 套裝機 8G RAM DDR4 3200 8G, 250G nvme+ 1T SMR HDD
+ 24" D-sub輸入螢幕 (註: 盲用電腦)
ASUS CM1730 (power故障, HDD壞軌, 沒UEFI bios, 4*ddr3 slot)
現在檢查有沒有暗病, CPU是 Athlon X2 250
(本台電腦在資料救援看檔案過程中發現有帳, 考慮二度再就業)
Acer G31平台 + C2D E4700 + 2G ram (這台要留嗎 @___@)
----------------- (還是分割線 請二手商及不懷好心者自重)
自己從raid拔下來逐一磁區clone給Seagate考試的硬碟 序號: ZW63XJE7
被救援本體硬碟 WD10SPZX 1TB 序號: WX81E2859SAA (已開盤)
被救援本體系統碟 WDS250G2B0A 序號: 20530Y801891 (已被拆焊過)
救援料板 澤石 ZS1010 512G 序號: ZSS1DA02C119160181
不願透露id的善心版友捐贈的intel 545s 256G SSD 序號: BTLA7421095W256CGN
nwlsa1098 版友 MX500 500G 序號: 1912E1F3C609/ 1912E1F2ABBD
Samsung 860 EVO 序號: S3YANB0M366498Y
r0ndo9 版友 ST4000VN006一顆 序號: WW692442
twtpcsilence 版友 創見DDR3-1333 4G*2
jacky81005 版友 WD 1T WD10EZEX *2 序號: WCC6Y2DRTPVJ/ WCC6Y2DRT9N4
bust222 版友, 群暉DS916+ 4顆Seagate Barrdcuda 2T硬碟 + DELL U2311
+ 一袋電腦線材及OA耗材
序號: Z560N82N/Z560N88C/Z560NA3C/Z560N7T2
nightwind209 版友 B75M-A + DDR3 8G*2 + 威剛SP600 128G SSD
spfy版友, R5-2400G + B350 TOMAHAWK + 美光 DDR4 8G*2 + 1TB HDD + MX500 250G
ST3100524AS 序號: 9VPC07FJ MX500序號: 1817E1392105
tianzun版友, 威剛DDR4 2600 4G*2
李先生, Toshiba DT01ACA300 序號: 68OUM4YAS
ST2000DM008 *2 序號: ZFL4N5NB, WFL57V1M
與原PO討論愛心物資應該要公開透明以示公信
如果在二手區不是從協會或我流出有上列序號的硬碟, 直接報警處理
----------------- (分割線 後續處理)
沒有配件碟了 料板用光光 撈回70-75%資料
在一般小辦公室的情況下, 自建 TrueNAS (版權問題) + NextCloud
加上版友好心捐贈的群暉 以及協會自己的外接硬碟備份
外加硬碟付上的Seagate rescue+
如果還是全炸那我只能傻眼貓咪 ( ⊙ω⊙)
如果有高手提點更好的方法請交流
也歡迎清灰散熱理線高手 我將在週三(4/1)開車去協會交付中毒電腦以及無痛升級Win 11
(Y-500居然一桶傳三代被用完)
目前已把資料救出來75%交付, 也幫忙該協會更新Windows 11
目前需要的物資有
i3 4130以上 CPU一顆
涼快一點的M.2 NVME 250G SSD (秘書長的WD SN520一開機直衝65度!!)
後續intel 2-4代平台或是低功耗將搭建防火牆 (萬惡的公文系統要固定ip)
如果有效能高一點的平台將搭建Microsoft 365 server
(這真的加解密很吃cpu, 另外協會也希望轉成正版, 我有Microsoft 365正版授權)
感謝dorlamon大神, 寫出解析無mft表撈原始檔名的程式!!
TrueNAS 安裝筆記
如果系統安裝在 Maxio 1102主控加公版韌體, 會誤判smart表, MAS1102 A8=BB
CDI的 BB值, 對到 TrueNAS偵測的 187值 會直接判斷硬碟fail
-------------------------- (分割線 交付完後記)
準備交接給住台北的MIS人員
最後救出75%資料, 有8G沒有MFT表失去檔案名只能打開看
今日交付資料跟架設好server, 也淘汰高時數(30000+) SMR硬碟
多出一台主機可以湊新進人員使用, 或是自行架設防火牆
我將把原始資料完整clone一份再用密碼學破解看看
Windows 11預設BitLocker全關閉, 怕資料救援會出問題
另外盲用電腦還在用COM/LPT. 這個不知道什麼時候才會大升級
在這邊想要請捐助零件的大恩確認名單
另外取之於鄉民用之於鄉民, 請各位決定要如何處理多餘料件
1) SMR 硬碟, 時數35000+ 找拆外接硬碟盒做冷儲存還是做料板或備品?
2) CMR 硬碟, 時數10000左右當做備料, 時數40000+要如何處理呢?
3) 沒有擋板的主機板當做新進人員電腦用? (有TPM, 能正規update)
4) 剩下2條DDR4 2666 SODIMM 2條DDR4 3200 SODIMM 要拿去交換板回血或是摸彩?
請各位給高見!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.104.191.115 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Storage_Zone/M.1774110661.A.B95.html
推
03/22 03:06,
1月前
, 1F
03/22 03:06, 1F
推
03/22 06:05,
1月前
, 2F
03/22 06:05, 2F
→
03/22 09:09,
1月前
, 3F
03/22 09:09, 3F
推
03/22 09:13,
1月前
, 4F
03/22 09:13, 4F
推
03/22 09:35,
1月前
, 5F
03/22 09:35, 5F
推
03/22 09:58,
1月前
, 6F
03/22 09:58, 6F
推
03/22 11:12,
1月前
, 7F
03/22 11:12, 7F
推
03/22 12:28,
1月前
, 8F
03/22 12:28, 8F
推
03/22 13:38,
1月前
, 9F
03/22 13:38, 9F
推
03/22 14:07,
1月前
, 10F
03/22 14:07, 10F
推
03/22 14:16,
1月前
, 11F
03/22 14:16, 11F
推
03/22 14:49,
1月前
, 12F
03/22 14:49, 12F
→
03/22 15:04,
1月前
, 13F
03/22 15:04, 13F
→
03/22 15:04,
1月前
, 14F
03/22 15:04, 14F
→
03/22 15:06,
1月前
, 15F
03/22 15:06, 15F
→
03/22 15:06,
1月前
, 16F
03/22 15:06, 16F
→
03/22 15:10,
1月前
, 17F
03/22 15:10, 17F
→
03/22 15:19,
1月前
, 18F
03/22 15:19, 18F
→
03/22 15:20,
1月前
, 19F
03/22 15:20, 19F
→
03/22 16:05,
1月前
, 20F
03/22 16:05, 20F
→
03/22 16:06,
1月前
, 21F
03/22 16:06, 21F
→
03/22 16:08,
1月前
, 22F
03/22 16:08, 22F
→
03/22 16:08,
1月前
, 23F
03/22 16:08, 23F
推
03/22 17:17,
1月前
, 24F
03/22 17:17, 24F
推
03/22 18:33,
1月前
, 25F
03/22 18:33, 25F
推
03/22 19:40,
1月前
, 26F
03/22 19:40, 26F
推
03/22 19:58,
1月前
, 27F
03/22 19:58, 27F
推
03/22 20:36,
1月前
, 28F
03/22 20:36, 28F
推
03/22 21:07,
1月前
, 29F
03/22 21:07, 29F
推
03/22 21:09,
1月前
, 30F
03/22 21:09, 30F
推
03/22 21:20,
1月前
, 31F
03/22 21:20, 31F
推
03/22 21:24,
1月前
, 32F
03/22 21:24, 32F
→
03/22 22:04,
1月前
, 33F
03/22 22:04, 33F
推
03/22 22:21,
1月前
, 34F
03/22 22:21, 34F
推
03/22 22:21,
1月前
, 35F
03/22 22:21, 35F
→
03/22 22:23,
1月前
, 36F
03/22 22:23, 36F
推
03/22 22:25,
1月前
, 37F
03/22 22:25, 37F
→
03/22 22:25,
1月前
, 38F
03/22 22:25, 38F
→
03/22 22:32,
1月前
, 39F
03/22 22:32, 39F
還有 200 則推文
推
04/08 15:59,
3周前
, 240F
04/08 15:59, 240F
→
04/08 19:50,
3周前
, 241F
04/08 19:50, 241F
推
04/09 12:16,
3周前
, 242F
04/09 12:16, 242F
推
04/09 21:04,
3周前
, 243F
04/09 21:04, 243F
→
04/09 21:04,
3周前
, 244F
04/09 21:04, 244F
推
04/09 22:42,
3周前
, 245F
04/09 22:42, 245F
→
04/09 22:47,
3周前
, 246F
04/09 22:47, 246F
→
04/09 23:04,
3周前
, 247F
04/09 23:04, 247F
推
04/10 12:08,
3周前
, 248F
04/10 12:08, 248F
推
04/10 13:30,
3周前
, 249F
04/10 13:30, 249F
→
04/10 14:25,
3周前
, 250F
04/10 14:25, 250F
推
04/10 16:49,
2周前
, 251F
04/10 16:49, 251F
→
04/10 18:10,
2周前
, 252F
04/10 18:10, 252F
→
04/10 20:41,
2周前
, 253F
04/10 20:41, 253F
※ 編輯: diji777 (112.104.191.115 臺灣), 04/11/2026 00:14:32
推
04/11 13:00,
2周前
, 254F
04/11 13:00, 254F
→
04/11 16:07,
2周前
, 255F
04/11 16:07, 255F
→
04/11 16:07,
2周前
, 256F
04/11 16:07, 256F
推
04/12 16:44,
2周前
, 257F
04/12 16:44, 257F
推
04/13 15:57,
2周前
, 258F
04/13 15:57, 258F
→
04/13 16:48,
2周前
, 259F
04/13 16:48, 259F
→
04/13 16:49,
2周前
, 260F
04/13 16:49, 260F
→
04/13 17:01,
2周前
, 261F
04/13 17:01, 261F
推
04/14 03:44,
2周前
, 262F
04/14 03:44, 262F
推
04/14 14:39,
2周前
, 263F
04/14 14:39, 263F
→
04/14 14:39,
2周前
, 264F
04/14 14:39, 264F
推
04/15 09:05,
2周前
, 265F
04/15 09:05, 265F
→
04/16 23:21,
2周前
, 266F
04/16 23:21, 266F
推
04/19 15:37,
1周前
, 267F
04/19 15:37, 267F
→
04/20 16:45,
1周前
, 268F
04/20 16:45, 268F
→
04/20 22:10,
1周前
, 269F
04/20 22:10, 269F
→
04/20 22:12,
1周前
, 270F
04/20 22:12, 270F
→
04/20 22:13,
1周前
, 271F
04/20 22:13, 271F
→
04/20 22:13,
1周前
, 272F
04/20 22:13, 272F
→
04/20 22:18,
1周前
, 273F
04/20 22:18, 273F
→
04/20 22:21,
1周前
, 274F
04/20 22:21, 274F
推
04/20 22:39,
1周前
, 275F
04/20 22:39, 275F
→
04/20 22:52,
1周前
, 276F
04/20 22:52, 276F
推
04/23 11:41,
1周前
, 277F
04/23 11:41, 277F
推
04/24 14:24,
1周前
, 278F
04/24 14:24, 278F
討論串 (同標題文章)
Storage_Zone 近期熱門文章
PTT數位生活區 即時熱門文章
