Восстановление 1С и рабочих документов с RAID10

Давно мы не писали выполнение кейсы по жестким дискам, так как редко выпадает свободное время, но мы решили исправиться. На сей раз герой нашего рассказа – целых 4 жестких диска Seagate объединенные в RAID10 массив. Клиент привез нам эти диски в паре со стоечным сервером.

 

Восстановление RAID10 VMware ESXi

Заявленная клиентом неисправность: Необходимо восстановить данные с RAID массива. При этом на массиве дисков работала виртуальная машина VMware ESXi на которой работали 2 виртуальных ПК на Windows 2012. Со слов клиентов – кто-то «влез» в их систему и успели провести манипуляции с одной из виртуальных «машин», после чего система там перестала загружаться и доступ к файлам пропал.

 

Восстановление данных с сервера VMware ESXi

Первым делом нам нужно было собрать из 4-ох дисков целостный RAID10, для того чтобы перейти к анализу данных на интересующий виртуальный хост, к которому пропал доступ. Для этого мы использовали профессиональный программный продукт Украинских разработчиков. Подобрав параметры, мы смогли восстановить RAID10 с правильными параметрами и получили доступ к дискам.

 

Следующая задача – найти и провести анализ повреждений файловой системы виртуальной машины, с которой нужны файлы (1С и другие рабочие базы и файлы). При помощи поиска по сигнатурам мы нашли нужный файл виртуальной машины VMware. В этой виртуальной машине должно быть 2 рабочих раздела: системный и диск с базами и рабочими документами. При просмотре в Hex редакторе было обнаружена причина того, что система перестала грузится и пропал доступ – в системе была проведено хакерская атака с шифрованием системного раздела. Клиенту тут отчасти повезло, и злоумышленники не успели провести шифрование всего, а лишь успели «запороть» системный диск, а второй диск успели лишь частично зашифровать.

 

При помощи программного комплекса мы смогли восстановить на 80% файлы и базы со второго раздела и выдать результат клиентам.