miércoles, 9 de marzo de 2011

Recuperando archivos cifrados de una partición NTFS con EFS (Encrypted File System)

Ayer me dejaron un portátil que no arrancaba, para que tratase de arreglarlo. Había que intentar no perder los datos si era posible, porque su dueño tenía ahí todas sus fotos y vídeos personales, y como siempre, no tenía copia de seguridad (Me recuerda la frase "hay dos tipos de usuarios de ordenadores: los que han perdido datos, y los que los perderán".
El disco duro tenía dos particiones, una con las aplicaciones instaladas y otra con los datos de usuario (escritorio, documentos, fotos, etc.). Windows XP comenzaba a arrancar, pero en mitad del arranque el portátil se reiniciaba sólo.
Intenté varias cosas como restaurar el MBR desde la consola de recuperación de Windows, y también arranqué el ERD Commander para verificar que los ficheros seguían ahí. ERD Commander te permite "Restaurar el sistema a un estado anterior", pero desafortunadamente estaba desactivado este sistema en Windows XP, por lo que no había backups anteriores del sistema.
Sin embargo, desde ERD Commander pude ver que los datos seguían ahí y podía acceder a ellos. Así que decidí sencillamente borrar la partición del sistema, formatearla con NTFS (rápido), crear una nueva y reinstalar Windows XP en ella.
Cuál fue mi sorpresa cuando, una vez reinstalado el sistema operativo, me dí cuenta de que podía ver los ficheros de la partición de datos, pero no podía acceder a ellos (aparecían con un color verde en el explorador de Windows).
Comencé a investigar por qué aparecían los ficheros en color verde, y entonces descubrí lo que desconocía: El Encrypting File System. Resulta que en un sistema de ficheros NTFS se pueden tener carpetas y archivos encriptados, de manera que alguien puede acceder a los ficheros pero su contenido no se puede descifrar sin una clave de desencriptado, que Windows almacena en su partición del sistema (la que yo acababa de formatear).
Después de muchas investigaciones, pude hacerme con la herramienta Advanced EFS Data Recovery, que busca los archivos encriptados y trata de desencriptarlos, buscando también los ficheros de Windows con la clave.
Sin embargo, como yo había formateado la partición, el wizard que trae la herramienta para buscar las claves de desencriptación no funcionó. Tuve que entrar en el modo experto, el cuál incorpora una opción (sólo a partir de la versión 4) para poder examinar a nivel de sector físico el disco duro, buscando posibles claves. Tuve suerte, ya que al formatear la partición con el modo "rápido" el contenido no se borra físicamente del disco duro, así que el programa encontró las claves de desencriptación y pude recuperar las fotos del dueño.

  • Nota importante: El programa, en su versión "Trial", aunque parece que ha desencriptado bien los ficheros no lo hace, ya que como te avisa en un mensaje, sólo desencripta los primeros 512 bytes de cada archivo (el resto lo rellena a ceros). Si adquieres una licencia puedes desencriptar los ficheros completos.

Espero que os sirva de ayuda si alguna vez os encontráis con este tipo de ficheros "marcianos" mostrados en verde.

19 comentarios:

juan dijo...

¿No probaste con un CD con una distribución Linux? A mí me ha salvado más de una vez :-)

Truesaeta dijo...

Si, a mi también me han salvado de alguna. Probé con SUPER WIMPE, pensé en arrancar con otros Live-CDs pero como vi que el tema era tan fácil como reinstalar Windows no probé más. El problema del EFS me lo encontré después de reinstalar el sistema (cuando ya había borrado los ficheros de claves).
No encontré ningún Live-CD de Linux que tenga una herramienta para recuperar passwords perdidas de EFS... :-)

Anónimo dijo...

He tenido suerte y aún no he perdido datos. Pero sin duda un aporte interesante que intentare recordar por si alguna vez me ocurre.

Gracias por compartirlo

Mage Melgar dijo...

Hola desde Uruguay!!
Una consulta, el programa luego de escanear y encontrar los archivos encriptados, que tengo que apretar para empezar el desencriptado¿

Truesaeta dijo...

Hola Mage, no recuerdo muy bien porque esta entrada es de principios del 2011, pero me parece recordar que necesitas tener una copia licenciada del software.
Siento no poder ayudarte más.

Mage Melgar dijo...

Hola!! Estoy tratando de desencriptar con EFS Data Recovery, ya escaneo toda la pc y encontro los archivas encriptados, no sé cual es el paso siguiente que debo hacer!

Mage Melgar dijo...

uy si! tiene mucho tiempo, en realidad el programa te permite hacerlo con licencia y sin licencia( sin licencia podes recuperar menor cantidad de datos que con licencia)

Mage Melgar dijo...

escaneó todo y dice

Results:
2 (of 300) private keys have bees descrypted.
Below you can add user´s passwords to descrypt remaining 298 keys or press "nwxt" button to scan for encrypted flies.

User name: (aqui deberia poner mi nombre?)
Password:
As text

ot

In Hex

(tengo que seleccionar uno y no se cual)

Truesaeta dijo...

Lo siento Mage, no recuerdo el programa ni cómo se utiliza, como te digo esto fue hace mucho tiempo, no te puedo ayudar.

Unknown dijo...

Pudiste haber hecho un simple scandisk C:, muchas veces el sistema de archivos se corrompe y por alguna extraña razon el sistema de arranque de windows no encuentra los archivos que necesita para arrancar, asi que decide reiniciarse, formandose un ciclo infinito.

Unknown dijo...

Pudiste haber hecho un simple scandisk C:, muchas veces el sistema de archivos se corrompe y por alguna extraña razon el sistema de arranque de windows no encuentra los archivos que necesita para arrancar, asi que decide reiniciarse, formandose un ciclo infinito.

dayron dijo...

hola ayuda tengo problema coon unos archivos que salve un disco externo el usuario tenia contraseña y no me deja recuperarlos y son bien importatnes aparecen rotuladas de verde y dice no tener privilegios para ello

dayron dijo...

hola ayuda tengo problema coon unos archivos que salve un disco externo el usuario tenia contraseña y no me deja recuperarlos y son bien importatnes aparecen rotuladas de verde y dice no tener privilegios para ello

Unknown dijo...

Buenas tardes, amigo a que te refieres en modo experto, es acaso elmodo seguro o a prueba de fallos....??? y otra cosa podrias decirme los pasos mas especificamente de como recuperate la clave de recuperacion y usaste 1 u dos programas; tengo el mismo problema tecnico.

Unknown dijo...

Podrias decirme si el modo experto es el mismo modo eguro o a prueba de fallos...???

y cuales fueron tus pasos para recuperar la clave de descriptacion, como hiciste que programas usaste. tengo el mismo problema que te acontecio...???

Truesaeta dijo...

Hola Miguel, el modo experto es un modo de la herramienta, no el modo a prueba de fallos de arranque de Windows.
No recuerdo exactamente los pasos, hace más de dos años de esta entrada, lo siento.

Unknown dijo...

¿Alguien puede asesorarme con éste programa? Tengo un par de dudas. Tengo usuario (administrador) y tengo el número de la huella digital, pero nunca le puse clave de usuario al windows y el programa me `pide clave de usuario para desencriptar

Unknown dijo...

Tengo el nombre de usuario anterior (Administrador) y tengo el número de huella digital. Lo que nunca tuve con el anterior usuario fue un password. Nunca le puse, pero el programa me pide password para desencriptar los archivos.
¿Qué hago?

Adrian dijo...

SIN LA CLAVE DEL ADMINISTRADOR NO HACEN NADA