ก่อนที่ฉันจะเริ่มพูดสิ่งที่สถานการณ์ของฉันอยู่ที่นี่โปรดทราบว่าฉันจะขอบคุณตลอดไปสำหรับใครก็ตามที่สามารถช่วยฉันจัดการกับปัญหานี้ได้ ฉันมีรูปถ่ายที่นี่จากปีและปีของการทำงานอย่างเพียร ฉันเป็นช่างภาพกึ่งมืออาชีพและฮาร์ดดิสก์ของฉันมีข้อมูลประมาณ 1.5 TB จากภาพถ่าย บวก 100GB ของคลังเพลงทั้งหมดของฉันและดีวีดีทั้งหมดของฉันฉันใช้เวลาในการให้คำแนะนำเกี่ยวกับฮาร์ดดิสก์ของฉัน แต่รูปถ่ายของฉันเป็นสิ่งที่ฉันกังวลมากที่สุดพวกเขาไม่สามารถเปลี่ยนได้
ในระยะสั้นนี่คือสิ่งที่เกิดขึ้น: ฉันมีการสำรองข้อมูลของฉันเสมอโดยใช้ backblaze ซึ่งเป็นการสำรองข้อมูลออนไลน์สำหรับ windows ฉันตัดสินใจเมื่อ 3 เดือนที่แล้วฉันต้องการให้เซิร์ฟเวอร์ใช้ไฟล์ของฉันโดยใช้เพล็กซ์และการตัดสินใจว่าอูบุนตูเป็นวิธีที่ดีที่สุด ดังนั้นฉันจึงใช้วิธีการสำรองข้อมูลนี้โดยใช้สิ่งที่เรียกว่า "greyhole" และในขั้นตอนการตั้งค่า (2) ฮาร์ดไดรฟ์ 2TB และ (1) 1 TB harddrive บนโปรแกรมสำรอง greyhole นี้
นั่นคือตอนที่ฉันได้รูทคิท สิ่งนี้น่ารังเกียจและฉันคิดว่าหลังจาก 2 เดือนของการลองทุกอย่างฉันต้อง reflash ประวัติของฉันและยังคงมีไวรัสนี้ ฉันต้องฟอร์แมตฮาร์ดไดรฟ์ของฉันใหม่และสำรองข้อมูลทุกอย่างไว้ในฮาร์ดไดรฟ์ 1 ตัวที่เติมเต็มเกือบทั้งหมด (ฮาร์ดไดรฟ์ 2 TB) ฉันยังไม่ได้กำจัดไวรัสนี้มันเหลือเชื่อ ในที่สุดฉันก็จับได้ มันถูกฝังอยู่ในการ์ดอีเทอร์เน็ตเครือข่ายของฉัน ใครก็ตามที่อ่านสิ่งนี้ควรระวังว่าสิ่งใดก็ตามที่ฝังอยู่ในนั้นสามารถทำให้เราเตอร์ของคุณ LAN ทั้งหมดของคุณและอยู่บนคอมพิวเตอร์ของคุณได้แม้กระทั่งการรีสโตร์ไบออสเอง!
อย่างไรก็ตามหลังจากที่ฉันดูเหมือนจะกำจัดสิ่งที่ฉันยังคงมีไฟล์ของฉันในฮาร์ดไดรฟ์ของฉัน ฉันไม่ต้องการทำให้เครื่องใหม่ดังนั้นฉันพยายามเขียน MBR อีกครั้งโดยใช้ยูทิลิตี้ที่ชื่อว่า testdisk
ความผิดพลาดครั้งใหญ่
ฉันไม่รู้ว่ากำลังทำอะไรอยู่ และตอนนี้ฉันไม่สามารถอ่านข้อมูลของฉันได้!
นี่คือข่าวดีหรือไม่ หลังจาก testdisk ทำสิ่งนั้น (ซึ่งประกอบด้วยฉันวิเคราะห์ไดรฟ์และใช้คำสั่ง WRITE เพื่อทำความเสียหายมันใช้เวลาเพียง 1 วินาทีในการทำมันความหมาย - ฉันไม่ได้นั่งเขียน 5 ชั่วโมง บนไดรฟ์ที่มี "dd" มันเป็นสิ่งเล็ก ๆ น้อย ๆ ที่ฉันทำดังนั้นฉันคิดว่าข้อมูลยังต้องอยู่ในไดรฟ์
นี่คือสิ่งที่ฉันรู้:
- ไดรฟ์เป็นไดรฟ์ข้อมูลไม่มีระบบปฏิบัติการ ฉันใช้ Ubuntu เป็น OS บนไดรฟ์อื่น
- จัดรูปแบบเป็น ext3 หรือ ext4
- ขนาด = 2 TB
- files = ไม่สามารถถูกแทนที่สิ่งมีชีวิตทั้งหมดของฉันทำงาน - ไม่มีความพยายาม
backblaze ไม่มีไฟล์ของฉันอีกต่อไปเพราะมันใช้งานมานานกว่า 30 วัน ฉันได้เขียนสำรองข้อมูลอื่น ๆ ทั้งหมดของฉันด้วย 0 เนื่องจาก rootkit ฮาร์ดไดรฟ์นี้เป็นและเป็นแหล่งไฟล์เดียวของฉันในเวลาที่เกิดเหตุการณ์นี้ขึ้น บังเอิญนี่เป็นครั้งเดียวที่ฉันไม่ได้สำรองข้อมูลมาหลายปีแล้ว
นี่คือสำเนา / วางของ fdisk -l
Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b
Device Boot Start End Blocks Id System
/dev/sda1 * 63 3907024064 1953512001 83 Linux
Partition 1 does not start on physical sector boundary.
และ lshw
*-scsi:0
physical id: 2
logical name: scsi2
capabilities: emulated
*-cdrom
description: DVD writer
physical id: 0.0.0
bus info: scsi@2:0.0.0
logical name: /dev/cdrom
logical name: /dev/sr0
capabilities: audio cd-r cd-rw dvd dvd-r
configuration: signature=643a3365 status=ready
*-disk
description: ATA Disk
product: ST2000DM001-1CH1
vendor: Seagate
physical id: 0.1.0
bus info: scsi@2:0.1.0
logical name: /dev/sda
version: CC24
serial: W1E2L5K7
size: 1863GiB (2TB)
capabilities: partitioned partitioned:dos
configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
*-volume
description: EXT3 volume
vendor: Linux
physical id: 1
bus info: scsi@2:0.1.0,1
logical name: /dev/sda1
version: 1.0
serial: 05ea2f85-06fd-446c-a885-30614d53630c
size: 1863GiB
capacity: 1863GiB
capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean
โปรดช่วยฉันทำอะไรได้บ้าง ฉันกลัวที่จะพลาดอีกครั้งด้วย testdisk ฉันแค่ต้องการกู้คืนไฟล์ ฉันไม่สามารถเห็นได้ว่าพวกเขาหายไปไหน
ขอบคุณมาก-