PROBLEMA Criptaggio dati HP Elitebook 850 e recupero.

[RockStepp]

Buonasera a tutti,
sono nella cacchina, oggi il mio boss mi ha dato da salvare i dati del pc in oggetto per un trasferimento su pc nuovo, quindi ho pensato di fare una semplice copia su un disco esterno, ma qualsiasi disco collegavo mi dava accesso negato.

Quindi ho pensato di spostare i dati sul server ma con la rete in ufficio facevo prima a fare 3 figli.

Allora ho detto lancio parted magic e faccio tutto da linux, ma niente, la partizione di windows non si vede.

Entro nel bios e scopro che la partizione è protetta da un tool HP (Drive lock o spare keys o analogo), in breve prima di bootare la partizione del SO, bootava una partizione secondaria che conteneva un certo WinMagic, che con utente e pass faceva poi bootare win.

Vado quindi per disabilitare il lock e già che c' ero a fare un upgrade del bios e da lì nada, win non boota più.
Ho provato già con bootsect quindi fixboot e fixmbr ma nada, il pc si bloccava con "ecCode not Found".

Da allora le ho provate tutte, e non sto ad elencare ogni tentativo, sta di fatto che ragionando col mio cto ci siamo detti:
Il tool non può lockare ogni singolo file con encription, altrimenti oltre alle prestazioni ammazzate sarebbe anche impossibile lavorare in quanto ogni file, pensate agli allegati mail, non sarebbero leggibili dagli altri.

Per cui abbiamo pensato che il lock funziona a livello di filesystem e quindi la soluzione potrebbe essere fare un quick format della partizione e quindi lanciare recuva alla ricerca dei file perduti.

Ora però mi caco la mutanda, perché Recuva è quasi al 50% della prima fase e ha trovato solo 22 files :oogle:

Qualche consiglio? Salvatemi da licenziamento sicuro con linciaggio omaggio :suicidio:
Thanks

 

[michael chiklis]

hmmm la vedo dura!
Credo che quel tipo di crittografia sia legata anche al laptop da cui è stata generata la chiave di decrittazione, quindi dovresti provare ad inserire l'hdd che contiene i dati da backuppare all'interno dello stesso laptop da cui è stata generata la crittografia la prima volta, a quel punto la username e la password dovrebbero funzionare.
Hai inserito user e pass con l'hdd collegato nel laptop originario?

A questo punto non saprei se funzionerà, ammesso che tu non l'abbia già provato con l'hdd inserito nel suo laptop, per via del fatto che hai fatto tanti tentativi alla cieca che potrebbero aver distrutto le chiavi di decrittazione.

Prova con R-Studio se riesci a vedere cartelle e files (potrebbe essere necessaria una scansione completa in R-studio), in caso positivo salvali su un secondo hdd.
Se non vedi le cartelle mostraci la MBR (settore 0 del hdd) per capire se questo è in chiaro o se è crittografato o se è andato distrutto, in R-Studio fai clic col tasto destro sul modello del disco in questione e seleziona 'view edit', poi posta lo screen qui.

Esempio di MBR in chiaro:




Mi raccomando di non apportare alcuna modifica sul disco a livello HEX

 

[RockStepp]

hmmm la vedo dura!
Credo che quel tipo di crittografia sia legata anche al laptop da cui è stata generata la chiave di decrittazione, quindi dovresti provare ad inserire l'hdd che contiene i dati da backuppare all'interno dello stesso laptop da cui è stata generata la crittografia la prima volta, a quel punto la username e la password dovrebbero funzionare.
Hai inserito user e pass con l'hdd collegato nel laptop originario?

A questo punto non saprei se funzionerà, ammesso che tu non l'abbia già provato con l'hdd inserito nel suo laptop, per via del fatto che hai fatto tanti tentativi alla cieca che potrebbero aver distrutto le chiavi di decrittazione.

Prova con R-Studio se riesci a vedere cartelle e files (potrebbe essere necessaria una scansione completa in R-studio), in caso positivo salvali su un secondo hdd.
Se non vedi le cartelle mostraci la MBR (settore 0 del hdd) per capire se questo è in chiaro o se è crittografato o se è andato distrutto, in R-Studio fai clic col tasto destro sul modello del disco in questione e seleziona 'view edit', poi posta lo screen qui.

Esempio di MBR in chiaro:




Mi raccomando di non apportare alcuna modifica sul disco a livello HEX

Grande Michael, Tom's non delude mai in quanto a utenti preparati!
Allora ti dico che in Recuva ho gia trovato dei dati, per cui questa crittazione non deve funzionare un granché (buon per me).
Ora ho abilitato un paio di opzioni che dovrebbero far scavare più a fondo, ma già aver tirato fuori immagini e qualche documento è ottimo.
Sto facendo Data Recovery dal mio PC windows, ormai ho formattato la partizione quindi non dovrebbe far troppa differenza la macchina...
Appena finisco con Recuva vado di R-Studio e ti dico, grazie mille per i suggerimenti Grande!

 

[michael chiklis]

I direi di non perdere tempo con recuva e vai subito con R-Studio (di cui però ti servirà la versione completa da acquistare altrimenti non potresti salvare i files che hanno una dimensione superiore ai 150 KB).
Però con la demo potrai verificare cosa verrà scovato.

Recuva se non ricordo male non recupera la struttura del filesystem (quindi niente cartelle), R-Studio invece è in grado di recuperare i dati con la struttura delle cartelle.

 

[RockStepp]

Nada con entrambi riesco q tirar fuori qualche file inutile e dei metadati tra cui $BadClus, grande quanto quasi tutta la partizione.
Ho fatto qualche ricerca e c'è chi dice che è possibile che dei dati siano estraibili, ma mi sa che getto la spugna e inizio a cercarmi un altro lavoro bahahahahaha

 

[michael chiklis]

Hai provato a fare una scansione completa con R-Studio?
Quando hai usato ubuntu hai lanciato il live o l'hai proprio installato su hard disk? (non dirmi che l'hai installato sullo stesso hdd del quale volevi fare il backup).
Quando hai detto di aver disabilitato il lock, sei sicuro che in realtà non hai resettato la chiave di decrittazione? (in tal caso non potrai più recuperare i dati).

Non hai ancora postato lo screen della MBR, da quella potremmo capire se è crittografato l'intero hdd o solo le tabelle delle partizioni.

Sicuramente hai reso tutto più complicato con tutti i tentativi che hai fatto alla cieca, secondo me a questo punto è ormai un'impresa quasi impossibile anche per un DR pro, mi dispiace.

 

[RockStepp]

Ho fatto una scansione completa, e per i vari tentativi di Mount e lettura fs ho usato parted magic lanciato da chiavetta e quindi ram disk.
Non ho scritto su disco in analisi, e nel bios ho disabilitato il lock, prima e poi fatto un upgrade del bios, ma già l so non bootava più.
Sicuramente dopo ho esagerato nello smanettare nel bios...
Appena posso posto lo screen!

 

[michael chiklis]

Mostraci anche lo stato smart del hdd con Crystaldisk, potrebbe anche essere che si sia danneggiato qualche settore, se si fossero danneggiati i settori in cui è salvata la chiave di decrittazione ciò potrebbe spiegare perchè ora non si avvia più windows, lo stato smart dovrebbe mostrare se ci sono dei problemi fisici.

P.S.
Dato che il tuo boss voleva trasferire i dati su un nuovo hdd da utilizzare su un altro pc, la strada più semplice sarebbe stata quella di clonare l'hdd a basso livello con HDD Raw Copy
HDDGURU: HDD Raw Copy Tool

 

[RockStepp]

Ma no non mi piace clonare preferisco fare un fresh install dell so e poi copiare i dati, ma comunque lo valuterò per altri lavori thanks!