کمک در مورد EFS (بدبخت شدم ! ... اطلاعاتم از دستم رفت)

[saeedx 460]

با درود
من چند روز قبل تصمیم گرفتم که کیس شخصی خودم رو به محیط کار ببرم و بجای سیستم اداری استفاده کنم ( با توجه به اینکه سیستم اداره یه سیستم درب و داغون و قدیمی بود و در هنگام استفاده با مشکل کمبود حافظه مواجه میشد و اذیت میکرد )
ابتدا اومدم و اطلاعاتم رو از روی هارد دیسک اداره بر روی یه هارد external کپی کردم (بعنوان backup ) و بعدش هارد دیسک سیستم قدیمی اداره رو فرمت کردم

سپس یه ویندوز 7  روی هارد دیسک سیستم جدید خودم نصب کردم و بعد اطلاعات بک آپ شده رو از روی هارد اکسترنال خودم بر روی هارد سیستم جدیدم کپی کردم که با یه مشکل عجیب مواجه شدم ...

با نهایت تعجب متوجه شدم که قادر به مشاهده بخش زیادی از اطلاعاتم نیستم یعنی وقتی روی اونها دابل کلیک میکنم با خطای access denied مواجه میشم ( error 0x80071771 ) که میگه "شما اجازه دسترسی به محتوای فایل رو ندارید"
( فایلهایی با این مشکل روبرو شده که تاریخ ایجاد اونها از سال 99 به بعد بوده و فایلهای قدیمی تر مشکلی ندارند )

با جستجوی فراوان در اینترنت راههای مختلفی رو امتحان کردم که بیشترشون روی مساله permission تمرکز داشتن و میگفتن باید اجازه دسترسی رو به user account خودتون بدید ولی هیچکدام از این راهها جواب نداد و در نهایت متوجه شدم که این فایلها encrypt شده هستن که توسط سیستم EFS ویندوز ، رمزگذاری شدن
( من خودم اصلا اقدام به انکریپت فایلهام نکرده بودم و بدون اطلاع من ، این فایلها رمزگذاری شده بودن و من خبر نداشتم )

مثلا در لینک https://www.repairwin.com/how-to-decrypt-efs-encrypted-files-and-remove-efs-encryption-in-windows-10  نوشته که :
اگر شما فایلهای انکریپت شده رو به یه کامپیوتر دیگه انتقال بدهید ، اونوقت تنها راه باز کردن این فایلها این هست که "کلید انکریپت" رو داشته باشید !

Part 2: How to Decrypt the EFS encrypted files on Another computer

If you have transferred the EFS encrypted files to another computer, then the only way to view (open) the EFS files, is to own the decryption key. The decryption key is the certificate .pfx file, you exported when you encrypted the files. If you don't have the EFS decryption key, there is not a way to decrypt the EFS files

و تنها راهکاری هم که ارائه دادن این هست که من باید دوباره به ویندوز سیستم قبلی مراجعه کنم و این فایلها رو از حالت انکریپ شده خارج کنم یا اینکه "decryption key" فایلها رو از ویندوز قبلی استخراج کنم و روی این فایلها در کامپیوتر جدیدم اعمال کنم
ولی بدبختی اینجاست که من هارد سیستم قدیمی اداره رو فرمت کردم و نمیتونم به ویندوز قبلی مراجعه کنم !

الان بخش زیادی از اطلاعاتم ( مربوط به سال 99 به بعد ) که روی هارد اکسترنال ریخته بودم رو نمیتونم بازشون کنم ! این اطلاعات برام خیلی مهم هستن و مربوط به "اعتبارات پروژه ها و بودجه عمرانی سالیانه شهرستان" هستن و در یه کلام "بدبخت شدم !"

در سایت زیر هم یه راهکار برای بازگرداندن اطلاعات ( بدون داشتن کلید انکریپشن ) ارائه داده که خیلی تخصصی هست و از سطح سواد من بالاتر هست و نتونستم انجامش بدم ( لینک زیر )
https://tinyapps.org/docs/decrypt-efs-without-cert-backup.html

حالا از دوستانی که تخصص دارن میخوام سوال کنم که آیا راهی برای decrypt کردن اطلاعات من هست یا نه ؟؟؟ مثلا آیا میتونم با کمک برنامه های بازیابی اطلاعات دیسک ،، بیام و اطلاعات هارد قبلی رو که فرمت کرده بودم ، بازیابی کنم تا به decryption key دست پیدا کنم ؟؟؟

ویرایش شده ژانویه 22, 2022 توسط saeedx

[4790k 231]

با اینجا تماس بگیر مشکلت بگو ببین میشه براش کاری کرد

https://iranhard.com/

[mrp7 940]

خیر همون طور که خودتون متوجه شدید فایلی که انکریپت بشه تنها توسط کلید اختصاصی مربوط به خودش امکان دیکریپت شدن داره، فایل های شما پاک نشده که نیاز به بازیابی داشته باشید، فایل ها سرجاش هست ولی رمز گذاری شدن. اگر قرار بود فایل های انکریپت شده را هر کسی بتونه به راحتی باز کنه دیگه اصلا نیازی به اضافه کردن این ویژگی امنیتی به ویندوز نبود.

شما نیاز دارید که اون ویندوز قبلی (روی کامپیوتر اداره) را به صورت کامل بالا بیارید تا از طریق همون نرم افزار ویندوز که فایل هارو انکریپت کرده، انکریپشن را از روش بردارید. با بازیابی کردن نصف و نیمه فایل ها نمیتونید ویندوز را بالا بیارید.

ویرایش شده ژانویه 22, 2022 توسط mrp7

[saeedx 460]

3 دقیقه قبل، mrp7 گفته است:

خیر همون طور که خودتون متوجه شدید فایلی که انکریپت بشه تنها توسط کلید اختصاصی مربوط به خودش امکان دیکریپت شدن داره، فایل های شما پاک نشده که نیاز به بازیابی داشته باشید، فایل ها سرجاش هست ولی رمز گذاری شدن. اگر قرار بود فایل های انکریپت شده را هر کسی بتونه به راحتی باز کنه دیگه اصلا نیازی به اضافه کردن این ویژگی امنیتی به ویندوز نبود.

شما نیاز دارید که اون ویندوز قبلی (روی کامپیوتر اداره) را به صورت کامل بالا بیارید تا از طریق همون نرم افزار ویندوز که فایل هارو انکریپت کرده، انکریپشن را از روش بردارید. با بازیابی کردن نصف و نیمه فایل ها نمیتونید ویندوز را بالا بیارید.

آیا با بازیابی اطلاعات هارد فرمت شده ، میشه یه "ویندوز فرمت شده" رو بالا آورد ؟؟؟
تعجب من از این هست که اصلا چه کسی به ویندوز اجازه داده که بدون اطلاع کاربر ، بیاد و فایلها رو انکریپت کنه ؟؟؟ من روحم هم خبر نداشت که فایلهام انکریپت شده هستن ! وگرنه قبل از فرمت کردن هارد ، اول اونها رو از حالت انکریپت خارج میکردم ....

[mrp7 940]

4 دقیقه قبل، saeedx گفته است:

تعجب من از این هست که اصلا چه کسی به ویندوز اجازه داده که بدون اطلاع کاربر ، بیاد و فایلها رو انکریپت کنه ؟؟؟

شاید ادمین شرکت یا هر کسی که مسئول آی تی اداره شما هست موقع کانفیگ کردن سیستم های اداره اون حالت هم برای امنیت بیشتر فعال کرده یه زمانی اطلاعات مهم به سرقت نره. به طور پیش فرض هیچ وقت فعال نیست. در مورد بازیابی اطلاعات باید از متخصص اش سوال کنی ولی خیلی بعیده که به صورت 100 درصد ریستور بشه و بشه دقیقا همون ویندوز را بالا آورد! تا جایی که من میدونم بازیابی اطلاعات هارد فرمت شده حدود 70 درصد هست اونم در صورتی که overwrite نشده باشه.

ویرایش شده ژانویه 22, 2022 توسط mrp7

[ARMIN 20667]

21 دقیقه قبل، saeedx گفته است:

آیا با بازیابی اطلاعات هارد فرمت شده ، میشه یه "ویندوز فرمت شده" رو بالا آورد ؟؟؟
تعجب من از این هست که اصلا چه کسی به ویندوز اجازه داده که بدون اطلاع کاربر ، بیاد و فایلها رو انکریپت کنه ؟؟؟ من روحم هم خبر نداشت که فایلهام انکریپت شده هستن ! وگرنه قبل از فرمت کردن هارد ، اول اونها رو از حالت انکریپت خارج میکردم ....

یه نفر دانسته یا ندانسته Encrypt کرده.

متاسفانه من تجربه این مشکل رو داشتم و هیچ راه ساده ای نداره به اون اطلاعات بتوان دسترسی پیدا کرد. فقط هکر های خیلی قوی و سازمان های اطلاعاتی ممکنه توانایی شکستن قفلش رو داشته باشند.

از نظر من دسترسی به اون اطلاعات نا ممکنه.

[danyal.fa79 874]

۱ ساعت قبل، mrp۷ گفته است:

شاید ادمین شرکت یا هر کسی که مسئول آی تی اداره شما هست موقع کانفیگ کردن سیستم های اداره اون حالت هم برای امنیت بیشتر فعال کرده یه زمانی اطلاعات مهم به سرقت نره. به طور پیش فرض هیچ وقت فعال نیست. در مورد بازیابی اطلاعات باید از متخصص اش سوال کنی ولی خیلی بعیده که به صورت 100 درصد ریستور بشه و بشه دقیقا همون ویندوز را بالا آورد! تا جایی که من میدونم بازیابی اطلاعات هارد فرمت شده حدود 70 درصد هست اونم در صورتی که overwrite نشده باشه.

خوب حتی اگه ۷۰٪ ویندوز قبلی هم برگرده بقیشو فکر میکنم بشه با همون سافتور repair ویندوز بازیابیش کرد

بنظرم چالش اصلی ریکاوری توی این مورد، صحیح نبودن نام و دسترسی فایل های ویندوزی هست که ریکاوری میشن!

[Elderado 308]

همون نسخه ویندوز(کامپیوتر اداره) رو روی یک سیستمه دیگری نصب کن  که نسخه انکریپتور -دکریپتور (بیت لاکر)هر ویندوزی فرق داره.

[saeedx 460]

۱۷ دقیقه قبل، Elderado گفته است:

همون نسخه ویندوز(کامپیوتر اداره) رو روی یک سیستمه دیگری نصب کن  که نسخه انکریپتور -دکریپتور (بیت لاکر)هر ویندوزی فرق داره.

با درود
منظورتون نوع ویندوز هست ( مثلا ویندوز 7 یا ویندوز 10 ) یا اینکه ورژن ( build ) اون ویندوزها هم باید یکسان باشن ؟؟؟
الان ویندوز سیستم قدیمی من ، windows7 بوده و الان ویندوز نصب شده روی سیستم جدید هم windows7 هست ولی فایلها باز نمیشن ... ( البته این ویندوز 7 که روی سیستم جدید نصب کردم از نوع آخرین ورژن با همه بروزرسانی ها تا ژانویه 2022 هست )
حالا این مسأله چه کمکی میتونه به من بکنه ؟؟؟
مهم این هست که من decryption key رو لازم دارم که روز ویندوز قدیمی بوده و پاک شده ....

[Elderado 308]

هم اکنون، saeedx گفته است:

یا اینکه ورژن ( build ) اون ویندوزها هم باید یکسان باشن ؟؟؟

دقیقا خوده خودشو پیدا کن.(dvd) نصب شو

اول مشخصه که آیا برنامه بیت لاکر خوده ویندوز بوده(که کدگذاری کرده)؟کاش درایوه کد گذاری شده آیکونش فرق میکرد که بفهمی کدبندی شده بوده؟!

بهترین سناریو اینه که خوده ویندوز سرخود انکریپت کرده باشه و وقتی همون بیلده ویندوز رو نصب کنی دیگه رمز ازت نخواد.

اون مسول آیتی شرکت رو پیدا کن و بهش بگو جریانو شاید رمزشو یادش باشه.یا شاید توی یه فایل متنی(txt) درونه خوده همون هارده فرمت شده باشه.(ریکاوری)

چند تا درایو(هارد) داشت این سیستمه اداره؟

 

[saeedx 460]

۵ دقیقه قبل، Elderado گفته است:

دقیقا خوده خودشو پیدا کن.(dvd) نصب شو

اول مشخصه که آیا برنامه بیت لاکر خوده ویندوز بوده(که کدگذاری کرده)؟کاش درایوه کد گذاری شده آیکونش فرق میکرد که بفهمی کدبندی شده بوده؟!

بهترین سناریو اینه که خوده ویندوز سرخود انکریپت کرده باشه و وقتی همون بیلده ویندوز رو نصب کنی دیگه رمز ازت نخواد.

اون مسول آیتی شرکت رو پیدا کن و بهش بگو جریانو شاید رمزشو یادش باشه.یا شاید توی یه فایل متنی(txt) درونه خوده همون هارده فرمت شده باشه.(ریکاوری)

چند تا درایو(هارد) داشت این سیستمه اداره؟

 

الان فایلهای اینکریپت شده ، روی آیکونشون یه قفل کوچیک دیده میشه که نشانگر اینکریپت بودن اونهاست ولی در ویندوز قبلی ، تصویر این قفل رو بر روی آیکونها ندیده بودم

ویندوز سیستم قبلی رو در سال 1395 خودم نصب کرده بودم و متاسفانه یادم نمیاد که build اون ویندوز چی بوده ... ( از روی فلش مموری و با برنامه rufus نصب کرده بودم و cd یا dvd نداشته )

مسئول IT اداره هم بنده خدا هیچ کاری با سیستم من نداشته که بخواد بیاد فایلها رو انکریپت کنه ( یه نفر مأمور بوده از شهرداری که الان هم کلأ رفته و دیگه در اداره ما کار نمیکنه  ) و من مطمئن هستم که خود ویندوز بدون دخالت من یا فرد دیگه ، اقدام به انکریپت فایلها کرده .... ( شاید خودم حواسم نبوده و یه تنظیماتی رو دستکاری کرده باشم که باعث انکریپت فایلها شده باشه --- جالبه که از سال 1399بوده که فایلها رمزگذاری شدن و فایلهای قدیمی تر مشکلی ندارن )
سیستم قبلی دو تا هارد داشته که یکیش که ویندوز رویش بوده و فرمت شده و هارد دوم رو هم الان مجدد روی سیستم جدید بستم و اطلاعاتش دست نخورده ولی در همین هارد دوم هم باز خطای انکریپت برای بعضی فایلها داده میشه ...

[Elderado 308]

@سعید بهمنیان

آق سعید برس بداد آق سعید.

 

[GORGOROTH 491]

سلام سیستم من هم همینجوری شده بود و تمام فایلهام encrypt شده بود و  با هیچ نرم افزار ضد باج افزاری درست نشد-چون سیستم من رو هک کرده بودن و در خواست چند هزار دلار کرده بودن برای باز کردن پسورد فایلها !!!!!!!!!!!!!!!!!    منم بیخیال شدم زدم کل هارد رو فرمت کردم  -البته با ریکاوری هارد هم فایل هام برنگشت !!!!!!!!!!!!!!!

[MiladZQ 235]

سلام 

شرمنده، شاید اینجا جاش نباشه اما میتونم بپرسم که چطوری میتونیم از این مشکل جلوگیری کنیم یا به طریقی چک کنم که ایا این قفل یا هرچیزی که هست، روی سیستم من فعال هست یا خیر؟ 

[saeedx 460]

در ۱۴۰۰/۱۱/۳ در 15:33، MiladZQ گفته است:

سلام 

شرمنده، شاید اینجا جاش نباشه اما میتونم بپرسم که چطوری میتونیم از این مشکل جلوگیری کنیم یا به طریقی چک کنم که ایا این قفل یا هرچیزی که هست، روی سیستم من فعال هست یا خیر؟ 

به عکس زیر که از دسکتاپ خودم گرفته شده نگاه کنید ( عکس از صفحه ویندوز 10 هست ولی در سایر ویندوزها هم تقریبا به همین شکل هست )
اون تیک کنار گزینه encrypt contents to secure data رو اگر ببینید ، نشان دهنده اینه که اون فایل در حالت رمزگذاری شده هست و خطر از دست رفتن اطلاعات ( مشابه بلایی که بر سر من اومده ) براتون وجود داره

باید همیشه یا اون تیک رو بردارید تا فایلهاتون انکریپت نشه و یا اینکه باید از "کلید انکریپشن" فایل هاتون بکاپ بگیرید و در جای امنی نگهداری کنید ( آموزشش در اینترنت هست )

 

17 ساعت قبل، saeedx گفته است:

به عکس زیر که از دسکتاپ خودم گرفته شده نگاه کنید ( عکس از صفحه ویندوز 10 هست ولی در سایر ویندوزها هم تقریبا به همین شکل هست )
اون تیک کنار گزینه encrypt contents to secure data رو اگر ببینید ، نشان دهنده اینه که اون فایل در حالت رمزگذاری شده هست و خطر از دست رفتن اطلاعات ( مشابه بلایی که بر سر من اومده ) براتون وجود داره

باید همیشه یا اون تیک رو بردارید تا فایلهاتون انکریپت نشه و یا اینکه باید از "کلید انکریپشن" فایل هاتون بکاپ بگیرید و در جای امنی نگهداری کنید ( آموزشش در اینترنت هست )

متاسفانه من زمانی متوجه این قضیه شدم که دیگه کار از کار گذشته بود و همه اطلاعات ارزشمند خودم رو که سالها براشون زحمت کشیده بودم ، از دست دادم !
بیخود نیست که میگن "کسب تجربه در زندگی میتونه برای انسان خیلی گرون تموم بشه" پس بهتره آدم ابتدا سعی کنه از تجربه دیگران درس بگیره تا اینکه انسان خودش شخصا بخواهد در هر موردی برود و دنبال کسب تجربه باشد ....

[MiladZQ 235]

۱۴ ساعت قبل، saeedx گفته است:

به عکس زیر که از دسکتاپ خودم گرفته شده نگاه کنید ( عکس از صفحه ویندوز 10 هست ولی در سایر ویندوزها هم تقریبا به همین شکل هست )
اون تیک کنار گزینه encrypt contents to secure data رو اگر ببینید ، نشان دهنده اینه که اون فایل در حالت رمزگذاری شده هست و خطر از دست رفتن اطلاعات ( مشابه بلایی که بر سر من اومده ) براتون وجود داره

باید همیشه یا اون تیک رو بردارید تا فایلهاتون انکریپت نشه و یا اینکه باید از "کلید انکریپشن" فایل هاتون بکاپ بگیرید و در جای امنی نگهداری کنید ( آموزشش در اینترنت هست )

خیلی ممنونم، من چک کردم چند تا فایل رو هیچکدوم این تیک براشون فعال نبود. امیدوارم مشکل تون حل بشه

[Black Boy 138]

در ۱۴۰۰/۱۱/۳ در ۱۵:۳۳، MiladZQ گفته است:

سلام 

شرمنده، شاید اینجا جاش نباشه اما میتونم بپرسم که چطوری میتونیم از این مشکل جلوگیری کنیم یا به طریقی چک کنم که ایا این قفل یا هرچیزی که هست، روی سیستم من فعال هست یا خیر؟ 

سلام

- تیک زیر رو بزنید هر فایلی که انکریپت شده باشه رنگی میش

Folder Option - View - Show encrypted or compressed NTFS files in color

- certmgr.msc رو اجرا کنید در پوشه Personal - Certificate اگر مجوزی به اسم کاربریتون بود یعنی احتمالا فایل انکریپت شده دارید و میتونید اون مجوز رو Export کنید

ممکن هست این مجوز در پوشه Other People یا Trusted People ایجاد بشه

- در همون لحظه که فایلی انکریپت میشه در ویندوز یک نوتیفیکیشن ایجاد میشه که توصیه میکنه فایل مجوز رو پشتیبان بگیرید

[farid68 149]

سلام و عرض ادب

با استفاده از دستور chkdsk در cmd احتمال بازگردانی کامل هست . (چون فایل ها انکریپت شده هست نیاز به بازگردانی کامل هست وگرنه بعید میدونم ریکاوری جواب بده)

فقط توصیه میکنم تمام پارامتر ها رو قبل اجرای دستور و شروع کار ابتدا دقیقا داخل اینترنت جستجو کنید و سپس اجرا کنید . (چون اگر عمل نکنه تکرارش دیگه فایده ای نداره)

 

 

[saeed110 1268]

در ۱۴۰۰/۱۱/۲ در 17:33، saeedx گفته است:

با درود

احتمالا بعد یه تاریخی این گزینه رو فعال کردید. به نظرم بهتره از مراکز تخصصی بازیابی سوال کنید اگه بگن نمیشه که به نظرم باید بیخیال بشید.

ویرایش شده ژانویه 24, 2022 توسط saeed110

[MiladZQ 235]

15 ساعت قبل، Black Boy گفته است:

سلام

- تیک زیر رو بزنید هر فایلی که انکریپت شده باشه رنگی میش

Folder Option - View - Show encrypted or compressed NTFS files in color

- certmgr.msc رو اجرا کنید در پوشه Personal - Certificate اگر مجوزی به اسم کاربریتون بود یعنی احتمالا فایل انکریپت شده دارید و میتونید اون مجوز رو Export کنید

ممکن هست این مجوز در پوشه Other People یا Trusted People ایجاد بشه

- در همون لحظه که فایلی انکریپت میشه در ویندوز یک نوتیفیکیشن ایجاد میشه که توصیه میکنه فایل مجوز رو پشتیبان بگیرید

خیلی ممنونم رفیق

پس یعنی احتمال اینکه اتوماتیک ویندوز یه سری فایل رو انکریپت کنه هست.

[Black Boy 138]

۴ ساعت قبل، MiladZQ گفته است:

خیلی ممنونم رفیق

پس یعنی احتمال اینکه اتوماتیک ویندوز یه سری فایل رو انکریپت کنه هست.

خواهش میکنم حقیقتش رو بگم من ندیدم تا به حال ویندوزی خودش فایل رو انکریپت کنه. در شبکه دامینی شاید اما یوزر خانگی فکر نکنم یا حداقل من ندیدم.

[Elderado 308]

https://forum.soft98.ir/showthread.php?t=67100