其他特殊資料救援案例
各式少見的案例,例如:虛擬機救援、工業機台、FREEBSD、RFS特殊系統格式、監控系統、1080P FULL HD影片或特殊少見的故障情況。
-
![]()
31客戶名稱李小姐
聯絡電話093104XXX
硬碟型號INTEL SSDPEKN0512GZH 512GB
硬碟序號BTKA2125XXXXXXX
故障原因
客戶送檢測硬碟為SSD硬碟, 員工也是離職時刪除了大量公司資料,SSD資料救援因為TRIM問題, 部份情況雖可以對應到資料夾名稱或檔案名稱,但救援出來的檔案內容磁區大多是空白, 所以多是無法正常開啟使用,此案例稍不同的是, 員工可能使用專門刪除資料的軟體去操作,所以作完底層掃描分析後,所有員工刪除的檔案及資料夾皆沒有對應到,工程師後續再分析後有其他找出相關原始檔案存在此顆硬碟的LOG記錄, 提供給客戶證明,這些檔案在員工在職期間是有創建及操作使用的情況,但後來為什麼這些檔案資料後來會不見,可能須再向檢察官或法官說明交代.
-
![]()
32客戶名稱陳小姐
聯絡電話04-2314XXXX
硬碟型號ST4000DM004 4TB
硬碟序號ZTT3XXXXXX
故障原因
任職7,8年的員工惡意刪除公司資料,客戶送修硬碟為一顆4TB傳統HDD,經過分析比對目前硬碟內現有資料為7百多GB,但以工具分析發現對應的資料應近2TB,查看此顆4TB硬碟的磁區內容, 只有前面約2成左右是有內容的, 懷疑客戶有使用工具將2成後的所有磁區作填零動作, 後再細部判讀資料內容才發現原來客戶有一個ONEDRIVE的資料夾對應到公司的雲端硬碟,後續分析過程發現此位員工在不同的許多時間點, 有以資料夾及個別檔案的方式去刪除資料,所以調查分析方向不同, 須以不同方式去比對查找, 整理相關資料後再交付客戶去輔助證明.
-
![]()
33客戶名稱XX全球有限公司
聯絡電話09833XXXXX
硬碟型號SKHYNIX HFS512GDE9X08N 512GB
硬碟序號CSA4N4765XXXXXXXXX
故障原因
客戶員工針對重要資料夾去設定EFS加密, 離職後並沒有先解除該EFS資料夾的加密, 就直接移除了電腦原始登入的帳密,造成公司無法正常開啟使用這些檔案, 由於客戶事後有嘗試創建相同帳密去破解, 但也以失敗告終.由於EFS加密KEY已經變更且可能有覆蓋了,所以已無法破解EFS加密資料,依客戶提供要調查的時間點查找出這段時間客戶在不同天各是刪除了哪些資料,並依刪除日期去排列導出給客戶確認,且判斷出其EFS加密的時間點提供給客戶後續整理分析.
-
![]()
34客戶名稱李先生
聯絡電話091888XXXX
硬碟型號ST500DM009
硬碟序號ZA4A7XXXXX
故障原因
客戶的員工離職後,惡意刪除了大量的公司資料,客戶有送其他家救援公司處理過, 但資料不完整, 所以要再二救,後來發現公司除了要救援資料外,也希望能有相關證據證明員工離職前有刪除資料的動作,所以本公司除了救援比對資料外, 另針對客戶指定的員工通知離職至最離開公司的這段時間,每天所有的刪除資料依照刪除時間去排列整理再導出給客戶, 後續客戶再針對這些相關資訊整理後交給律師處理.
-
![]()
35客戶名稱台北林先生
聯絡電話09210xxxxx
硬碟型號HDS721050cla362
陣列形態raid0+raid1
硬碟序號共2顆
故障原因
客戶使用了二顆HITACHI 500GB硬碟, 利用主機板上的INTEL ICH9R作Matrix Raid設定,硬碟前面50GB空間設定RAID0組態, 為WINDOWS NTFS系統格式,後面450GB空間設定為RAID1(MIRROR),某日故障後送來作檢測救援, 經工程師檢測一號硬碟為單碟片,二個磁頭,0號磁頭故障損毀, 須後續開盤才能救援, 二號硬碟有壞軌故障問題, 由於客戶只須MIRROR區的資料, 只須由故障較輕的一顆去處理即可, 故鏡相2號硬碟完成後,順利導出客戶資料, 完成此一RAID0+RAID1的磁碟陣列救援案例。
-
![]()
36客戶名稱金屬工業研究發展中心
聯絡電話09212XXXXX
硬碟型號WD1002F9YZ-09H1JL1
硬碟序號WMC5K0DXXXXX
故障原因
工程師檢測後發現,此硬碟資料被勒索病毒加密。
-
![]()
37客戶名稱采誠科技股份有限公司
聯絡電話05-63XXXXX
硬碟型號HDS721050CLA362
硬碟序號JPB570HK3XXXXX
故障原因
工程師檢測後發現,此硬碟資料被勒索病毒加密。
-
![]()
38客戶名稱財團法人公共電視文化事業基金會
聯絡電話09386XXXXX
硬碟型號WD60EZRZ-22GZ5B1
硬碟序號WX11DC6XXXXX
故障原因
硬碟通電無運轉反應。
(EXFAT系統格式,需要救援特殊編碼影片) -
![]()
39客戶名稱長頸鹿文化事業股份有限公司
聯絡電話09281XXXXX
硬碟型號WD20EFRX-68EUZN0
硬碟序號WCC4M0UXXXXX
故障原因
經工程師檢測,此硬碟資料被勒索病毒加密。
-
![]()
40客戶名稱李先生
聯絡電話09393XXXXX
硬碟型號MQ03UBB200
硬碟序號67LCTXOXXXXX
故障原因
讀不到資料。
要救援Sony攝影機拍攝的影片,其影片格式為特殊編碼影片。
-
![]()
41客戶名稱銘榮元實業有限公司
聯絡電話09129XXXXX
硬碟型號SEAGATE ST8000DM004
硬碟序號NABXXXXX
故障原因
SEAGATE ST8000DM004硬碟中勒索病毒,原有的備份檔案都被加密了。
-
![]()
42客戶名稱張先生
聯絡電話09191XXXXX
硬碟型號SEAGATE ST1000DM003
硬碟序號Z9A0XXXXX
故障原因
SEAGATE ST1000DM003硬碟,中勒索病毒,需做資料救援。
-
![]()
43客戶名稱莊小姐
聯絡電話09288XXXXX
硬碟型號WD WD30EZRX-00DC00B0
硬碟序號WMC1T14XXXXX
故障原因
WD WD30EZRX-00DC00B0硬碟副檔名被更改無法開啟,嘗試用掃毒軟體完成後,檔案無法正常開啟,呈現亂碼。
工程師檢測後發現,此硬碟資料被勒索病毒加密。
-
![]()
44客戶名稱張先生
聯絡電話09127XXXXX
硬碟型號SEAGATE ST3250410AS
硬碟序號6RYXXXXX
故障原因
SEAGATE ST3250410AS硬碟裡的照片檔案無法開啟,需救援資料。
副檔名被更改無法開啟,嘗試用掃毒軟體完成後,檔案無法正常開啟,呈現亂碼。
工程師檢測後發現,此硬碟資料被勒索病毒加密。
-
![]()
45客戶名稱協宏工業社
聯絡電話09170XXXXX
硬碟型號WD WD2500KS-00MJB0
硬碟序號WCANKC4XXXXX
故障原因
WD2500KS-00MJB0 250GB硬碟發出嗶嗶聲,完全讀不到硬碟,要救援VM掛載的虛擬機資料。
-
![]()
46客戶名稱徐先生
聯絡電話09091XXXXX
硬碟型號WD WD40NMZW-11GX6S1
硬碟序號WX21D28XXXXX
故障原因
WD40NMZW-11GX6S1 4TB硬碟誤作初始化操作,主要要救援虛擬機資料。
-
![]()
47客戶名稱陳先生
聯絡電話09392XXXXX
硬碟型號MK1634GAL
硬碟序號40TIW8HXXXXX
故障原因
TOSHIBA MK1634GAL 硬碟跳出格式化錯誤,無法讀取裡面的資料。( 1.8吋 ZIF 介面硬碟)
-
![]()
48客戶名稱達旺欣業限公司
聯絡電話09323XXXXX
硬碟型號SanDisk 隨身碟 32GB
硬碟序號BM17112XXXXX
故障原因
檔案變成捷徑,無法開啟。
工程師檢測後發現此隨身碟遭病毒感染,導致資料被隱藏。 -
![]()
49客戶名稱陳先生
聯絡電話09131XXXXX
硬碟型號WD10EZEX-00ZF5A0
硬碟序號WMC1S52XXXXX
故障原因
副檔名被更改無法開啟,嘗試用掃毒軟體完成後,檔案無法正常開啟,呈現亂碼。
工程師檢測後發現,此硬碟資料被勒索病毒加密。 -
![]()
50客戶名稱狗狗水世界有限公司
聯絡電話09352XXXXX
硬碟型號ST31000528AS
硬碟序號6VPXXXXX
故障原因
工程師檢測後發現,此硬碟資料被勒索病毒加密。
-
![]()
51客戶名稱林先生
聯絡電話09176XXXXX
硬碟型號WD2005FBYZ-01YCBB2
硬碟序號WMC6N0LXXXXX
故障原因
原使用NTFS,重灌OS後就變成RAW,主要要救援虛擬機資料。
-
![]()
52客戶名稱均廷佑企業社
聯絡電話09178XXXXX
硬碟型號HDS721010CLA332
硬碟序號HDIXXXXX
故障原因
工程師檢測後發現,此硬碟資料被勒索病毒加密。 -
![]()
53客戶名稱賴小姐
聯絡電話09194XXXXX
硬碟型號HDR-CX550
硬碟序號1XXXXX
故障原因
插上電腦讀取線時,發生檔案無法讀取,但原先在機器上是可以觀看的。
-
![]()
54客戶名稱願景國際電信
聯絡電話09206XXXXX
硬碟型號HP DG146BB976
陣列形態RAID0
硬碟序號共2顆 SAS HDD
故障原因
客戶一組HP Server主機內裝二顆HP 146GB的SAS硬碟, 設定RAID0組態, 為Windows NTFS系統格式, 某日資料未備份完全就重新安裝了系統, 造成了10GB的資料覆蓋, 由於要救援的是Oracle資料庫的資料, 所以分析陣列參考導入後, 針對客戶未覆蓋的區域再作細部分析救援, 最後終救援出二十多GB的資料, 成功完成此一少見Oracle的資料庫救援案例。
-
![]()
55客戶名稱憶鴻工業股份有限公司
聯絡電話091XXX0062
硬碟型號ST3250310NS
陣列形態HP RAID5
硬碟序號共4顆
故障原因
桃園憶鴻工業採用HP ML100G5 雙效驗RAID5主機,由四顆250GB SATA硬碟建構資料庫系統,某日伺服器內的第三顆硬碟SATA排線燒毀,造成該顆硬碟部份磁區受損,更換SATA排線後重開機,系統已經CRASH無法進入.當天早上送來公司檢測,因月底財務部急需作業,以急件處理,工程師處理HP雙效驗經驗豐富,先同步將所有硬碟作好鏡相備份,並檢測出系統第2顆硬碟也有些壞軌,經分析計算各顆硬碟相關參數後,不到半天時間下午立即交付檔案結構及部份救援資料截圖給客戶驗收,成功快速完成救援此HP RAID 5雙效驗陣列列救援案例。
-
![]()
56客戶名稱 衛展資訊
聯絡電話098XXX0638
硬碟型號ST373455LC
陣列形態IBM RAID5E
硬碟序號共5顆
故障原因
衛展資訊專門承包政府機關及中大型企業系統整合服務,某日某政府機關伺服器CRASH無法運行,當天下午3點送來,工程師先對所有硬碟作檢測,5顆SCSI硬碟中共有4顆故障,先後排除二顆故障後,馬上對此三顆硬碟作好鏡相.另二顆硬碟分別磁頭故障及嚴重壞軌,因無法立即排除故障,加上已鏡相的IMG檔案內皆無壞軌,所以先對此陣列作缺盤分析,分析參數後立即導入重建RAID結構,晚上八點立即回報客戶已完成救援,隔天請客戶會同該政府單位相關人員前來驗收,順利完成此一少見的IBM RAID5E磁碟陣列資料救援案件。
-
![]()
57客戶名稱劉先生
聯絡電話09308XXXXX
硬碟型號ST31000528AS
硬碟序號9VPXXXXX
故障原因
火災造成硬碟損毀,客戶表示有自行開盤確認硬碟內部狀況。經工程師檢測,此硬碟有電路板故障及磁頭故障情形,硬碟內部有輕微汙染狀況。
-
![]()
58客戶名稱林先生
聯絡電話09269XXXXX
硬碟型號ST9500423AS
陣列形態50GB
硬碟序號5VE4VXXXX
故障原因
台中店林先生一顆SEAGATE 500GB硬碟,10月X日時有WORD檔不能開啟,10月1X相片檔不能開啟,10月1X日電腦醫生開機時評估中毒,經工程師檢測,中毒後大部份檔案的副檔名皆為.80E3,本公司目前可救援處理的勒索病毒,多是病毒只加密INDEX及MFT分區表,或整顆硬碟全區加密但客戶及時發現並立刻關機,未能完全所有資料加密,或客戶此顆硬碟之前刪掉的資料未被加密,但這些資料尚須要可開啟使用,早期老舊的勒索病毒已有部份防毒軟體公司有提供解密方案,客戶可先自行搜尋比對看看是否有支援,目前聽到能完全解密多是付費給勒索病毒作者解密的居多,但也有許多人是付費了也沒解密的,消費者須自行評估風險問題,本公司提供客戶確認資料是可使用,您想取回資料才需付資料救援費用的服務保證。
-
![]()
59客戶名稱胡先生
聯絡電話09195XXXXX
硬碟型號6L120M0
陣列形態120GB
硬碟序號L399XXXX
故障原因
台中店胡先生電腦內三顆硬碟某日皆中了勒索病毒V3、V4,經工程師分析該病毒針對分區表作快速加密處理,硬碟其他磁區並未整區加密,故尚可針對未加密磁區分析對應資料,最後順利交付客戶救援出來的資料。本公司目前可救援處理的勒索病毒,多是病毒只加密INDEX及MFT分區表,或整顆硬碟全區加密但客戶及時發現並立刻關機,未能完全所有資料加密,或客戶此顆硬碟之前刪掉的資料未被加密,但這些資料尚須要可開啟使用,早期老舊的勒索病毒已有部份防毒軟體公司有提供解密方案,客戶可先自行搜尋比對看看是否有支援,目前聽到能完全解密多是付費給勒索病毒作者解密的居多,但也有許多是付費了也沒解密的,消費者須自行評估風險問題,本公司提供客戶確認資料是可使用,您想取回資料才需付資料救援費用的服務保證。
-
![]()
60客戶名稱李先生
聯絡電話093224XXXX
硬碟型號ST2000DM001
硬碟序號WIE3TXXXX
故障原因
客戶一顆SEAGATE 2TB硬碟,在故障前WINDOWS出現磁碟SCAN的畫面,之後便讀取不到此顆硬碟,內有虛擬機檔案及SQL資料庫須要救援,工程師檢測為內部讀寫磁頭故障問題,在CLASS 10級無塵室開盤救援成功後,順利交付客戶救援資料完成此一救援案例。
