Выберите Ваш город

Введите название вашего города

  • Абакан
  • Анадырь
  • Арзамас
  • Архангельск
  • Астрахань
  • Барнаул
  • Белгород
  • Биробиджан
  • Благовещенск
  • Братск

Восстановление данных VeraCrypt, TrueCrypt и Bitlocker

Artem Makarov aka Robin
08.06.2022
8954 просмотра

Шифрование данных нередко применяется пользователями, не задумывающимися о том, что в полном соответствии с диалектикой — «где розы, там и шипы», и приятные плюшки, в виде сохранения конфиденциальности своих файлов, в любой момент могут обернуться риском их потери из-за логического или физического сбоя носителя.

Восстановление данных Bitlocker, Truecrypt и Veracrypt

Так и случилось с USB флешкой которую прислали в нашу лабораторию из Белгорода.

Шифрование bitlocker

Будучи исправной физически, при подключении к системе появляется всплывающее уведомление о наличии шифрования битлокер, но при попытке разблокировать диск известным паролем:

Расшифровка bitlocker

Выдаётся сообщение «Шифрование BitLocker на этом диске несовместимо с используемой версией Windows. Попробуйте открыть диск с помощью более новой версии Windows.»

Шифрование BitLocker на этом диске несовместимо с используемой версией Windows

На флешке есть выделенный раздел с помещённой утилитой «BitlockerToGo.exe», предназначенной для получения доступа к зашифрованному разделу в операционный системах типа Windows 7, но попытка использовать её, так же выдаёт ошибку «This drive cannot be unlocked by the Bitlocker To Go Reader»:

Этот диск не может быть разблокирован Bitlocker To Go Reader

Получив такие вводные, первым делом создаём полную посекторную копию в файл-образ, для получения простора в экспериментах.

BitLocker не принимает пароль

Для начала стоит попробовать консольную утилиту «repair-bde», предназначенную для восстановления данных BitLocker потерянных в результате сбоя. В данном случае утилита не помогла, в процессе отработки выводились сообщения типа «ОШИБКА ЖУРНАЛА: 0xc000003b» и «ОШИБКА ЖУРНАЛА: 0xc0000033»:

Ошибка repair-bde

Такая ошибка может быть вызвана попыткой разблокировать Битлокер неправильным паролем, но в данном случае пароль был верный. Что же произошло?

Как разблокировать BitLocker

Дело в том, что шифрование BitLocker многоуровневое, если так можно выразиться. На «низком уровне» лежит базовое шифрование, при котором используется основной немодифицируемый Full Volume Encryption Key. Этот ключ генерируется системой и не зависит от пароля пользователя. Он, в свою очередь, шифруется через Volume Master Key, который, опять же, шифруется пользовательским паролем, либо модулем TPM. Таким образом, при смене пользовательского пароля сами данные на диске не модифицируются, а меняется только шифрование Volume Master Key, что позволяет производить смену пароля пользователя практически мгновенно, не нагружая операционную систему и дисковый массив, если речь идёт, к примеру, о шифровании системного диска.

При логическом сбое, который нередко может быть инициирован сменой пароля, происходит повреждение метаданных шифрования, которые хранятся в заголовке. Благо, метаданные имеют копии, и при повреждении основной, всё необходимое можно попробовать взять из резервной.

Расшифровка BitLocker

Полный логический анализ позволяет локализовать все имеющиеся копии метаданных:

Копии основного ключа шифрования BitLocker

Структура метаданных BitLocker

В следующем секторе лежит «полный ключ» тома, который и потребуется расшифровать известным паролем:

Взлом и восстановление BitLocker

Повреждение метаданных может быть некритичным, но из-за несовпадения поля контрольной суммы система шифрования будет воспринимать метаданные как повреждённые и давать ошибку типа «неверный пароль пользователя» даже при верном пароле, или вообще не воспринимать том, как подлежащий расшифровке. Произвести дешифрование повреждённого диска BitLocker в таком случае можно произведя необходимые правки КС.

Интересный лайфхак: в найденных копиях метаданных могут обнаружиться версии, содержащие незащищённый Volume Master Key! Такое может случиться, если пользователь выполнял приостановку или отключение защиты ранее, затем включив её повторно. Отключение шифрования не модифицирует шифрованные данные, а всего лишь расшифровывает «основной ключ» тома, тем не менее, в результате получить доступ к зашифрованным файлам окажется относительно несложно. Таким образом для расшифровки или взлома BitLocker нет никакой разницы, каким образом была реализована защита VMK, модулем TPM или паролем пользователя, если логический анализ сможет отыскать открытую версию ключа шифрования.

Восстановление данных TrueCrypt и VeraCrypt

Нередко вследствие логического или аппаратного сбоя зашифрованного TrueCrypt или VeraCrypt накопителя складывается ситуация, когда пользователь сталкивается с невозможностью расшифровать диск или том с известным паролем или файлом-ключом. Иногда программа шифрования показывается наличие зашифрованного тома, но после применения пароля файловая система на расшифрованном диске видится, как RAW (не размеченная).

Ошибка TrueCrypt и VeraCrypt - система RAW

Для выполнения анализа требуется исключить возможность самопроизвольной неконтролируемой записи на исследуемый диск, особенно если не была сделана резервная посекторная копия.

Монтирование диска TrueCrypt и VeraCrypt для анализа

Выбираем нужный для исследования физический диск из числа доступных.

Выбор диска TrueCrypt и VeraCrypt для восстановления

Определяем начало и конец области поиска шифрованных данных, можно использовать как автоматическое определение, так и указать смещения от начала и конца вручную.

Поиск шифрования TrueCrypt и VeraCrypt

На следующем этапе понадобится ввести известный пароль или файл-ключ, использованный для первоначального шифрования дисков.

Расшифровка повреждённого диска TrueCrypt и VeraCrypt

После выполнения сканирования будут найдены шифрованные поврежденные тома Трукрипт или Веракрипт, которые можно будет подмонитровать в систему и провести дополнительное логическое сканирование расшифрованной области.

Восстановление данных файлов и информации с TrueCrypt и VeraCrypt

Восстановление пароля truecrypt и veracrypt

Восстановление данных из контейнера «веракрипт» или «трукрипт» в ситуации с забытым или утраченным паролем — задача хоть и сложная, но вполне реализуемая, и в нашей лаборатории такие заказы не раз удавалось успешно выполнить. Файл-контейнер или зашированный диск (раздел) представляет собой структуру, заполненную т.н. «белым шумом», по уровню энтропии превосходящую большинство видео-файлов. Подбор пароля заключается в извлечении HASH данных из контейнера или диска, к которым и будет применяться маска, подобранная на основе компиляции известного или предполагаемого алгоритма шифрования и применённого к алгоритму последовательно перебираемого варианта пароля.

Вычленение хэша для truecrypt и veravrypt контейнеров происходит по схожей методике, с помощью шестнадцатеричного редактора, путём ручного выделения 200h байт в определённой части образа и сохранения выделенного фрагмента в отдельный файл.

Извлечение хэша TrueCrypt и VeraCrypt

Далее к полученному хэшу применяются методики подбора, как общеупотребимые, так и авторской разработки, с использованием партнёрских распределённых вычислительных сетей, что позволяет успешно подбирать довольно сложные пароли в разумные сроки. Если достоверно не известен алгоритм применённого шифрования приходится перебирать варианты, начиная с наиболее часто встречающегося «дефолтного» AES SHA-512.

Если вы столкнулись с проблемой, связанной с необходимостью восстановить файлы с зашифрованного диска, тома или раздела, которую не в состоянии решить самостоятельно, обращайтесь за помощью в нашу лабораторию!

Читать так же:

Восстановление данных с Seagate Secure SED

Как получить доступ к пользовательским файлам на Seagate Secure (SED) дисках

Восстановление файлов после вируса шифровальщика

Анализ и восстановление заражённых вирусом вымогателем данных

Оставьте комментарий
Читатель
22 марта 2023, 16:43

Парнёрские ботнет сети это имеется ввиду армия инфицированных компьютеров по всему миру которая используя железо легальных вледельцев и их электричество бесплатно выполняет Вам работу. Майнит или как в данном случае вламывает. Теперь вот как называется воровство.

Для Труекрипт был выполнен независимый аудит. Критические уязвимости не были найдены. Взлом грубой силой криптостойкого пароля к комбинации Кузнечик-Серпент-Камелия займёт вечность.

Artem Makarov aka Robin
20 октября 2023, 13:04

Есть разные варианты атак, у нас получалось пару раз подобрать на первый взгляд очень сложный и длинный пароль за несколько часов, предварительно применив определённые методики.

Alex
13 ноября 2023, 15:49

Определённые методики? Единственная методика, которая поможет избежать вечного перебора, это вспоминания части пароля или методики его создания. Например: пользователь использует 3 разных слова и случайно вставляет туда 2-3 цифры. Это сильно снизит варианты для перебора и реально уложится в несколько часов.
Если у вас есть методика взлома сложного пароля из 10+ символов с нуля и без подсказок, то хотелось бы услышать это. По сути, именно это многие хотят увидеть в статье. Про то что «самое главное хеш пароля по сути который мы и ломаем» мне кажется 80% специалистов это знают.

Нужна консультация?

Мы одна из немногих лабораторий в России, которая восстанавливает данные самостоятельно.

Для этого у нас есть все необходимое:
Важно – кто будет первым!
восстанавливать
информацию