Восстановление данных VeraCrypt, TrueCrypt и Bitlocker

Шифрование данных нередко применяется пользователями, не задумывающимися о том, что в полном соответствии с диалектикой — «где розы, там и шипы», и приятные плюшки, в виде сохранения конфиденциальности своих файлов, в любой момент могут обернуться риском их потери из-за логического или физического сбоя носителя.

Так и случилось с USB флешкой которую прислали в нашу лабораторию из Белгорода.

Будучи исправной физически, при подключении к системе появляется всплывающее уведомление о наличии шифрования битлокер, но при попытке разблокировать диск известным паролем:

Выдаётся сообщение «Шифрование BitLocker на этом диске несовместимо с используемой версией Windows. Попробуйте открыть диск с помощью более новой версии Windows.»

На флешке есть выделенный раздел с помещённой утилитой «BitlockerToGo.exe», предназначенной для получения доступа к зашифрованному разделу в операционный системах типа Windows 7, но попытка использовать её, так же выдаёт ошибку «This drive cannot be unlocked by the Bitlocker To Go Reader»:

Получив такие вводные, первым делом создаём полную посекторную копию в файл-образ, для получения простора в экспериментах.

BitLocker не принимает пароль

Для начала стоит попробовать консольную утилиту «repair-bde», предназначенную для восстановления данных BitLocker потерянных в результате сбоя. В данном случае утилита не помогла, в процессе отработки выводились сообщения типа «ОШИБКА ЖУРНАЛА: 0xc000003b» и «ОШИБКА ЖУРНАЛА: 0xc0000033»:

Такая ошибка может быть вызвана попыткой разблокировать Битлокер неправильным паролем, но в данном случае пароль был верный. Что же произошло?

Как разблокировать BitLocker

Дело в том, что шифрование BitLocker многоуровневое, если так можно выразиться. На «низком уровне» лежит базовое шифрование, при котором используется основной немодифицируемый Full Volume Encryption Key. Этот ключ генерируется системой и не зависит от пароля пользователя. Он, в свою очередь, шифруется через Volume Master Key, который, опять же, шифруется пользовательским паролем, либо модулем TPM. Таким образом, при смене пользовательского пароля сами данные на диске не модифицируются, а меняется только шифрование Volume Master Key, что позволяет производить смену пароля пользователя практически мгновенно, не нагружая операционную систему и дисковый массив, если речь идёт, к примеру, о шифровании системного диска.

При логическом сбое, который нередко может быть инициирован сменой пароля, происходит повреждение метаданных шифрования, которые хранятся в заголовке. Благо, метаданные имеют копии, и при повреждении основной, всё необходимое можно попробовать взять из резервной.

Расшифровка BitLocker

Полный логический анализ позволяет локализовать все имеющиеся копии метаданных:

В следующем секторе лежит «полный ключ» тома, который и потребуется расшифровать известным паролем:

Повреждение метаданных может быть некритичным, но из-за несовпадения поля контрольной суммы система шифрования будет воспринимать метаданные как повреждённые и давать ошибку типа «неверный пароль пользователя» даже при верном пароле, или вообще не воспринимать том, как подлежащий расшифровке. Произвести дешифрование повреждённого диска BitLocker в таком случае можно произведя необходимые правки КС.

Интересный лайфхак: в найденных копиях метаданных могут обнаружиться версии, содержащие незащищённый Volume Master Key! Такое может случиться, если пользователь выполнял приостановку или отключение защиты ранее, затем включив её повторно. Отключение шифрования не модифицирует шифрованные данные, а всего лишь расшифровывает «основной ключ» тома, тем не менее, в результате получить доступ к зашифрованным файлам окажется относительно несложно. Таким образом для расшифровки или взлома BitLocker нет никакой разницы, каким образом была реализована защита VMK, модулем TPM или паролем пользователя, если логический анализ сможет отыскать открытую версию ключа шифрования.

Восстановление данных TrueCrypt и VeraCrypt

Нередко вследствие логического или аппаратного сбоя зашифрованного TrueCrypt или VeraCrypt накопителя складывается ситуация, когда пользователь сталкивается с невозможностью расшифровать диск или том с известным паролем или файлом-ключом. Иногда программа шифрования показывается наличие зашифрованного тома, но после применения пароля файловая система на расшифрованном диске видится, как RAW (не размеченная).

Для выполнения анализа требуется исключить возможность самопроизвольной неконтролируемой записи на исследуемый диск, особенно если не была сделана резервная посекторная копия.

Выбираем нужный для исследования физический диск из числа доступных.

Определяем начало и конец области поиска шифрованных данных, можно использовать как автоматическое определение, так и указать смещения от начала и конца вручную.

На следующем этапе понадобится ввести известный пароль или файл-ключ, использованный для первоначального шифрования дисков.

После выполнения сканирования будут найдены шифрованные поврежденные тома Трукрипт или Веракрипт, которые можно будет подмонитровать в систему и провести дополнительное логическое сканирование расшифрованной области.

Восстановление пароля truecrypt и veracrypt

Для того, чтобы восстановить утраченный, потерянный или забытый пароль к трукрипт или веракрипт контейнеру, потребуется извлечь метаданные шифрования тома, которые чаще всего находятся в заголовке раздела. Если они не повреждены, то подбор хеша в нашей лаборатории реализуется методом bruteforce с использованием партнёрских ботнет сетей, что позволяет успешно подбирать довольно сложные пароли в разумные сроки.

Если вы столкнулись с проблемой, связанной с необходимостью восстановить файлы с зашифрованного диска, тома или раздела, которую не в состоянии решить самостоятельно, обращайтесь за помощью в нашу лабораторию!