Выберите Ваш город

Введите название вашего города

  • Абакан
  • Анадырь
  • Арзамас
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Биробиджан
  • Благовещенск
  • Братск

Восстановление данных VeraCrypt, TrueCrypt и Bitlocker

Artem Makarov aka Robin
08.06.2022
3688 просмотров

Шифрование данных нередко применяется пользователями, не задумывающимися о том, что в полном соответствии с диалектикой — «где розы, там и шипы», и приятные плюшки, в виде сохранения конфиденциальности своих файлов, в любой момент могут обернуться риском их потери из-за логического или физического сбоя носителя.

Восстановление данных Bitlocker, Truecrypt и Veracrypt

Так и случилось с USB флешкой которую прислали в нашу лабораторию из Белгорода.

Шифрование bitlocker

Будучи исправной физически, при подключении к системе появляется всплывающее уведомление о наличии шифрования битлокер, но при попытке разблокировать диск известным паролем:

Расшифровка bitlocker

Выдаётся сообщение «Шифрование BitLocker на этом диске несовместимо с используемой версией Windows. Попробуйте открыть диск с помощью более новой версии Windows.»

Шифрование BitLocker на этом диске несовместимо с используемой версией Windows

На флешке есть выделенный раздел с помещённой утилитой «BitlockerToGo.exe», предназначенной для получения доступа к зашифрованному разделу в операционный системах типа Windows 7, но попытка использовать её, так же выдаёт ошибку «This drive cannot be unlocked by the Bitlocker To Go Reader»:

Этот диск не может быть разблокирован Bitlocker To Go Reader

Получив такие вводные, первым делом создаём полную посекторную копию в файл-образ, для получения простора в экспериментах.

BitLocker не принимает пароль

Для начала стоит попробовать консольную утилиту «repair-bde», предназначенную для восстановления данных BitLocker потерянных в результате сбоя. В данном случае утилита не помогла, в процессе отработки выводились сообщения типа «ОШИБКА ЖУРНАЛА: 0xc000003b» и «ОШИБКА ЖУРНАЛА: 0xc0000033»:

Ошибка repair-bde

Такая ошибка может быть вызвана попыткой разблокировать Битлокер неправильным паролем, но в данном случае пароль был верный. Что же произошло?

Как разблокировать BitLocker

Дело в том, что шифрование BitLocker многоуровневое, если так можно выразиться. На «низком уровне» лежит базовое шифрование, при котором используется основной немодифицируемый Full Volume Encryption Key. Этот ключ генерируется системой и не зависит от пароля пользователя. Он, в свою очередь, шифруется через Volume Master Key, который, опять же, шифруется пользовательским паролем, либо модулем TPM. Таким образом, при смене пользовательского пароля сами данные на диске не модифицируются, а меняется только шифрование Volume Master Key, что позволяет производить смену пароля пользователя практически мгновенно, не нагружая операционную систему и дисковый массив, если речь идёт, к примеру, о шифровании системного диска.

При логическом сбое, который нередко может быть инициирован сменой пароля, происходит повреждение метаданных шифрования, которые хранятся в заголовке. Благо, метаданные имеют копии, и при повреждении основной, всё необходимое можно попробовать взять из резервной.

Расшифровка BitLocker

Полный логический анализ позволяет локализовать все имеющиеся копии метаданных:

Копии основного ключа шифрования BitLocker

Структура метаданных BitLocker

В следующем секторе лежит «полный ключ» тома, который и потребуется расшифровать известным паролем:

Взлом и восстановление BitLocker

Повреждение метаданных может быть некритичным, но из-за несовпадения поля контрольной суммы система шифрования будет воспринимать метаданные как повреждённые и давать ошибку типа «неверный пароль пользователя» даже при верном пароле, или вообще не воспринимать том, как подлежащий расшифровке. Произвести дешифрование повреждённого диска BitLocker в таком случае можно произведя необходимые правки КС.

Интересный лайфхак: в найденных копиях метаданных могут обнаружиться версии, содержащие незащищённый Volume Master Key! Такое может случиться, если пользователь выполнял приостановку или отключение защиты ранее, затем включив её повторно. Отключение шифрования не модифицирует шифрованные данные, а всего лишь расшифровывает «основной ключ» тома, тем не менее, в результате получить доступ к зашифрованным файлам окажется относительно несложно. Таким образом для расшифровки или взлома BitLocker нет никакой разницы, каким образом была реализована защита VMK, модулем TPM или паролем пользователя, если логический анализ сможет отыскать открытую версию ключа шифрования.

Восстановление данных TrueCrypt и VeraCrypt

Нередко вследствие логического или аппаратного сбоя зашифрованного TrueCrypt или VeraCrypt накопителя складывается ситуация, когда пользователь сталкивается с невозможностью расшифровать диск или том с известным паролем или файлом-ключом. Иногда программа шифрования показывается наличие зашифрованного тома, но после применения пароля файловая система на расшифрованном диске видится, как RAW (не размеченная).

Ошибка TrueCrypt и VeraCrypt - система RAW

Для выполнения анализа требуется исключить возможность самопроизвольной неконтролируемой записи на исследуемый диск, особенно если не была сделана резервная посекторная копия.

Монтирование диска TrueCrypt и VeraCrypt для анализа

Выбираем нужный для исследования физический диск из числа доступных.

Выбор диска TrueCrypt и VeraCrypt для восстановления

Определяем начало и конец области поиска шифрованных данных, можно использовать как автоматическое определение, так и указать смещения от начала и конца вручную.

Поиск шифрования TrueCrypt и VeraCrypt

На следующем этапе понадобится ввести известный пароль или файл-ключ, использованный для первоначального шифрования дисков.

Расшифровка повреждённого диска TrueCrypt и VeraCrypt

После выполнения сканирования будут найдены шифрованные поврежденные тома Трукрипт или Веракрипт, которые можно будет подмонитровать в систему и провести дополнительное логическое сканирование расшифрованной области.

Восстановление данных файлов и информации с TrueCrypt и VeraCrypt

Восстановление пароля truecrypt и veracrypt

Для того, чтобы восстановить утраченный, потерянный или забытый пароль к трукрипт или веракрипт контейнеру, потребуется извлечь метаданные шифрования тома, которые чаще всего находятся в заголовке раздела. Если они не повреждены, то подбор хеша в нашей лаборатории реализуется методом bruteforce с использованием партнёрских ботнет сетей, что позволяет успешно подбирать довольно сложные пароли в разумные сроки.

Если вы столкнулись с проблемой, связанной с необходимостью восстановить файлы с зашифрованного диска, тома или раздела, которую не в состоянии решить самостоятельно, обращайтесь за помощью в нашу лабораторию!

Читать так же:

Восстановление данных с Seagate Secure SED

Как получить доступ к пользовательским файлам на Seagate Secure (SED) дисках

Восстановление файлов после вируса шифровальщика

Анализ и восстановление заражённых вирусом вымогателем данных

Оставьте комментарий
Читатель
22 марта 2023, 16:43

Парнёрские ботнет сети это имеется ввиду армия инфицированных компьютеров по всему миру которая используя железо легальных вледельцев и их электричество бесплатно выполняет Вам работу. Майнит или как в данном случае вламывает. Теперь вот как называется воровство.

Для Труекрипт был выполнен независимый аудит. Критические уязвимости не были найдены. Взлом грубой силой криптостойкого пароля к комбинации Кузнечик-Серпент-Камелия займёт вечность.

Нужна консультация?

Мы одна из немногих лабораторий в России, которая восстанавливает данные самостоятельно.

Для этого у нас есть все необходимое:
Важно – кто будет первым!
восстанавливать
информацию