Перед тим як диск потрапив до нас, клієнт звертався в інші сервіси. В одному із сервісів, які позиціонують себе як центр відновлення інформації, після діагностики клієнту було повідомлено про те, що диск “порожній” (будь-які дані відсутні). В наступному сервісі накопичувач, всупереч методикам, підключався до робочої станції. В результаті цього, за допомогою штатних програм накопичувач було підготовлено до роботи в операційній системі Windows (нижче буде описано детальніше.).
Отож, після діагностики у нашій лабораторії було з'ясовано, що накопичувач перебуває у справному стані. У ході дослідження логічної структури диска спеціалістом було встановлено, що в нульовому секторі міститься непошкоджений MBR (головний завантажувальний запис), однак розміщення логічного розділу не відповідає записам інформації, яка міститься в нульовому секторі, а самі дані користувача, які містяться в розділі диску, не мають логічної структури. Залишається з'ясувати причину чому інформація зберігається саме в такому вигляді. Під час вивчення цього питання, нами було з'ясовано, що корпус WD Elements (Фото 1,2) насправді виконує функцію не просто корпусу, а має свій власний контроллер (Фото 3), який контролює збереження та надання доступу до інформації накопичувача. При цьому інформація на накопичувачі зберігається у зашифрованому вигляді.
Фото 1,2. Вигляд WD Elements


Фото 3. Вигляд контроллера

Після розуміння алгоритму шифрування, ми з'ясували, де зберігається службова інформація, яка дозволяє дешифрувати дані. Відшукавши серед службової інформації ключ, яким було проведено шифрування, ми приступили до перевірки логічної структури даних користувача. В процесі дешифрування даних ми зіштовхнулись з проблемою, яку створив попередній сервіс: при спробах дешифрувати нульовий сектор, він втрачав свою логічну структуру (Фото 4-зашифрований MBR, фото 5-дешифрований). Коли ми його повертали у звичний стан та переходили до даних користувача, то ця інформація не мала своєї структури. Однак, коли залишили поза увагою нульовий сектор, провели операцію дешифрування та перейшли до даних користувача, побачили притаманну для деяких файлів структуру даних (Фото 6-шифровані дані, фото 7-дешифровані дані). Саме на цьому етапі було з'ясовано, що диск підключався до робочої станції та користувачем було ініціалізовано його у системі. У результаті цього записи, які містили службову інформацію про зберігання даних користувача, були знищені, а взамін були записані нові, притаманні для будь-якого “порожнього” накопичувача, об'ємом 1 ТБ.
Фото 4. Зашифрований MBR

Фото 5. Дешифрований MBR
Фото 6. Приклад шифрованих даних
Фото 7. Приклад дешифрованих даних

Дослідивши такі зміни нами було обрано правильну методику та відновлено структури файлової системи, яка використовувалася раніше користувачем та отримано доступ до інформації користувача.